Sécurité - Crypto-Locker/Ransomware
Sommaire
Introduction
Nous sommes de plus en plus confrontés a la menace des ransomware ou Rançon-giciel,
des logiciels malicieux cachés dans des pièces jointes le plus souvent qui ont pour objectif :
- De chiffrer tous les documents accessibles
- De vous demander une rançon contre laquelle vous pourrez déchiffrer vos fichiers
Bon nombre de sites spécialisés, blogueurs, institutions ont fait des dossiers a ce sujet :
- ZDNet.fr - "Le ransomware Locky se diffuse via de fausses factures Free Mobile"
- ANSSI CERT-FR - "Campagne de messages électroniques non sollicités de type Locky"
- Korben.info - "Locky – Tout ce qu’il y a à savoir sur le malware du moment"
- LeMondeInformatique.fr - "Le ransomware Locky propagé par des macros Word fait des ravages"
Pour éviter ce genre de cas de figure dans nos établissements, voici quelques conseils et bonnes pratiques à adopter.
Mesures Préventives
Filtrage sur proxy - Bloquer les téléchargements des exe avec squid3
On peut interdire tout accès au téléchargement d’exécutables directement depuis la passerelle de cache/filtrage Ajouter l'ACL suivante :
acl url_exe url_regex -i \.exe$ \.msi$ \.dll$
Avec le http_access correspondant
http_access deny url_exe
Cette solution est radicale mais elle ne bloque pas le téléchargement lorsque le lien est en https et n’empêche pas le téléchargement d'archives zip puisque c'est un format utilisé par de nombreuses personnes.
Stratégie de Restrictions Logiciels / AppLocker
En domaine Microsoft Active Directory
Voir l'article existant à ce sujet sur le Wiki : Stratégie_de_Restriction_Logiciel_et_Applocker
En domaine EOLE Scribe
Exécuter l'éditeur de stratégie local du poste
gpedit.msc
Puis configurer les stratégie de restriction logiciel expliquée dans l'article cité précédemment
Configuration Ordinateur\Paramètre\Windows\Paramètre de sécurité\Stratégie de restriction logiciel\
Ensuite pour copier déployer cette configuration d'un poste a un autre, il suffit de copier le dossier %systemroot%\system32\grouppolicy sur le poste qui n'a pas cette configuration.
Cette copie peux être automatisée avec un paquet wapt ou un script de démarrage. (ne pas oublier de faire un gpupdate /force pour forcer l'application des paramètres)
Bloquer l'execution des Macros
Les documents Office avec macros étant les principaux vecteurs de ransomware voici la démarche a suivre pour interdire leur execution
Domaine Microsoft Active Directory ou Samba 4
Télécharger les administrative Template files (ADMX/ADML) sur le site officiel de Microsoft:
- Pour Office 2007 : https://www.microsoft.com/fr-fr/download/details.aspx?id=22666
- Pour Office 2010 : https://www.microsoft.com/en-us/download/details.aspx?id=18968
- Pour Office 2013 : https://www.microsoft.com/en-us/download/details.aspx?id=35554
- Pour Office 2016 : https://www.microsoft.com/en-us/download/details.aspx?id=49030
Lancez l'installation et indiquez le bureau comme répertoire d'installation
Vous trouverez sur le bureau un dossier ADMX contenant les modèles de stratégies à copier/coller dans :
\\domain.lan\sysvol\domain.lan\Policies\PolicyDefinitions
Créez une nouvelle stratégie dans votre domaine et devrait apparaître dans :
Configuration Utilisateur/Ordinateur > Stratégies > Modèles d'Administration
Descendez dans l'arborescence comme suit selon le produit Office (Excel,Word,Powerpoint) et la version (2010,2013) :
Modèles d'Administration > Microsoft Produit Version > Options Produit > Sécurité > Centre de gestion de la confidentialité > Paramètres de notification de macro VBA
Choisissez les paramètres suivants :
Activé > Désactiver tous sans notification : l’application désactive toutes les macros, signées ou non, et les utilisateurs ne reçoivent pas de notification.
Vous pouvez le faire pour les autres composants Office Excel,Publisher,Word etc..
Attention a ne pas désactiver complètement le VBA, cela peut paraître être une bonne idée mais si cela est activé les formule mathématique ne fonctionnerons plus.
Résultat attendu
Vous pouvez télécharger un fichier avec Macro tout a fait inoffensif sur ce site : Applications Excel "Jeux", à télécharger
Voici le résultat attendu
Trend Micro OfficeScan - Activation de la protection contre les logiciels de rançon
Pré-requis
- Vous devez avoir installé le SP1 d'OfficeScan 11 : http://files.trendmicro.com/products/officescan/OSCE_11.0_WIN_SP1_(fr)_GM_B3569.exe
- Vous devez avoir installé le Patch de sécurité 1 du SP1 d'OfficeScan 11 : http://files.trendmicro.com/products/officescan/EMEA/11/OSCE_11.0_WIN_SP1_P1_(fr)_GM_4664_R1.exe
Pour activer cette protection rendez vous dans le menu
Agents > Gestion des Agents
Ensuite dans l'onglet
Paramètres > Paramètres de surveillance des comportements
Activez les options suivantes :
- Activer le blocage du comportement des programmes malveillants pour les menaces connues et potentielles
- Protection des documents contre toute opération de chiffrement ou de modification non autorisée
- Bloquer les processus généralement associés à des logiciels de rançons
Et Appliquez ensuite cette stratégie à tous les agents