Réaction face à une menace non détecté

Question 1

La détection n’est jamais

Answer 1

La détection n’est jamais assurée
… que ce soit par des moyens techniques … ou humains.

Question 2

Les failles ZERO DAY

Answer 2

C’est une vulnérabilité sur un SI jamais fait l’objet d’une publication ou d’un corectif.

Question 3

les acteurs de la detection ?

Answer 3

• les utilisateurs
• les Techniciens (Rzo, si, sssi)

Question 4

Quels sont les symptomes d’une infection ?

Answer 4

• Ralentissements
• Accès impossible à des ressources
• Comportements suspects
• Emails suspects
• Utilisation élevée du processeur/de la mémoire
• Activité réseau importante
• Nouveaux services ou logiciels
• Trafic réseau suspect
• Logs suspects

Question 5

Investigation
Que doit-on chercher ?

Answer 5

• Tout élément pouvant être la cause des symptômes.

Question 6

Quelques processus légitimes

Answer 6

• csrss
• rundll32
• svchost
• taskmgr
• dwm

Question 7

csrss

Answer 7

Client/serveur Runtime Subsystem
- Gestion des fenetres et éléments graphiques de Windows
- C:\WINDOWS\SYSTEM32

Question 8

rundll32

Answer 8

Run a DLL
- Charge les librairies dynamiques (DLLs) en mémoire
- C:\WINDOWS\SYSTEM32

Question 9

svchost

Answer 9

Generic Host Process
- Exécute les services DLL
- C:\WINDOWS\SYSTEM32

Question 10

taskmgr

Answer 10

Task Manager
- Affiches applications et processus en cours.
- C:\WINDOWS\SYSTEM32

Question 11

dwm

Answer 11

Desktop Windows Manager
- Gère les affichages des fenêtres
- C:\WINDOWS\SYSTEM32

Question 12

Dossiers cibles :**

Answer 12

• Utilisateur
• AppData
• Roaming
• Temp
  (car utilisateur peux exécuter tout les fichiers avec ces droit et il est cacher)

Question 13

Clés de registre cibles :**

Answer 13

• HKEY LOCAL > Run et RunServices
• HKEY CURRENT USER > Run et RunServices
• HKEY USERS\DEFAULT > Run
  \Software\Microsoft\Windows \CurrentVersion\

Question 14

Le réseau

Answer 14

netstat -ano* : affiche les connexion à l’instant T ( Il s’ajoute a la liste des processus)
netstat -anob* : affiche les connexion à l’instant T pour un administrateur et affiche la liste des processus.

Question 15

Méthode d’investigation

Answer 15

1. Paramétrage de la station infectée
2. Technique de la clé USB

Question 16

1. Paramétrage de la station infectée

Answer 16

• Affichage des fichiers cachés.
• Affichage les fichiers système.

Question 17

2. Technique de la clé USB

Answer 17

• Connecter une clé USB vierge*
• Attendre 30 secondes
• Controlé contenu de la clé USB
• Toujours vierge = risque modéré
• Nouveaux fichiers = infection très probable.

Question 18

3. Contrôler la liste des processus actifs

Answer 18

• Processus inhabituels* (DLL en dehors de system32)
• Processus ayant des droits inadaptés*

Question 19

En cas de suspicion, NE SURTOUT PAS ***

Answer 19

• éteindre ou redémarrer la station suspecte. (car ça efface la RAM)
• Rester sur un doute. (dans le doute pas de doute)
• mener des actions trop hâtives (réinstaller l’UC)

Question 20

Les mesures immédiates
Je suis un utilisateur.

Answer 20

• Je découvre ou suspect un incident.
• Je me conforme a la fiche reflex.
• Je rends compte :
• à OSSI/CSSI
• Centre d’appel SDK (13°

Question 21

Les mesures immédiates
Je suis un administrateur.

Answer 21

• Je découvre un incident.
• Je fait cesser l’incident (coupe le réseau, isole le poste).
• J’assure la préservation des preuves. ( RAM).

Question 22

-Les mesures immédiates
Je suis OSSI, CSSI, CCPA,

Answer 22

• Je qualifie l’incident.
• j’évaluai l’impact opérationnel.
• Je rends compte :
• Intra-def, intra-ced, FR-ops&raquo_space; SOC DIRISI.
• Autre réseau&raquo_space; CALID.

Question 23

La traçabilité

Answer 23

Afin d’exécuter un compte rendu à l’échelon supérieur, tous les évènements et actions, depuis le début de suspicion, pour :
* Prendre des mesures adaptées
* Orienter une étude plus poussée

Question 24

La traçabilité
Il faut donc :

Answer 24

• Conserver des traces écrites des opérations réalisées :
  ◦ condition de découverte
  ◦ actions entreprises. . .
• Garder un mémo chronologique de la progression d’une infection (cas
  d’une infection se propageant sur un ou plusieurs SIC)

Question 25

Le compte rendu

Answer 25

• OSSI / CSSI
  » Intradef Intraced FrOps
  > SOC DIRISI > FOURMI
  » Autre Réseaux.
  > CALID > Formulaire de
  déclaration d’incident.

Question 26

Les autres moyens de détection

Answer 26

Selon le système d’information dans lequel se situe la station suspecte,
d’autres moyens peuvent aider à confirmer l’infection :
* Pare-feu
* Trafic réseau
* HIPS (Host-base Intrusion Prevention System)

Question 27

Les autres moyens de détection
* Pare-feu

Answer 27

• Pare-feu
  ◦ Interroger les alertes et fichiers de journalisation (log)
  ◦ Essayer de repérer toute connexion suspecte

Question 28

Les autres moyens de détection
* Trafic réseau

Answer 28

• Trafic réseau
  ◦ analyser le flux réseau afin de détecter du trafic suspect.

Question 29

Les autres moyens de détection
* HIPS

Answer 29

• HIPS (Host-base Intrusion Prevention System)
  ◦ Surveiller les modifications des éléments de sécurité du système

Question 30

Afin de limiter les risques, la première défense est la prévention.

Answer 30

• Technique
• Humaine

Question 31

Technique

Answer 31

• Antivirus à jour
• Système à jour
• Applications à jour
• Pare-feu activé

Question 32

Humaine

Answer 32

• Comportement cybernétique
• Gestion des supports amovibles

Question 33

Conclusion

Answer 33

• Les antivirus détectent ce qu’ils connaissent.
• Nous sommes tous acteur de la détection d’une infection.
• Une connaissance des systèmes est primordial.
• La collecte d’informations est essentielle pour un compte rendu efficace.
• L’application des mesures de prévention réduit considérablement le risque.