Sécurité - Crypto-Locker/Ransomware

De Wiki des Responsables Techniques du 85
(Redirigé depuis Securite:Locker)
Aller à : navigation, rechercher

Introduction

Nous sommes de plus en plus confrontés a la menace des ransomware ou Rançon-giciel,
des logiciels malicieux cachés dans des pièces jointes le plus souvent qui ont pour objectif :

  • De chiffrer tous les documents accessibles
  • De vous demander une rançon contre laquelle vous pourrez déchiffrer vos fichiers

Ransomeware.PNG

Bon nombre de sites spécialisés, blogueurs, institutions ont fait des dossiers a ce sujet :

Pour éviter ce genre de cas de figure dans nos établissements, voici quelques conseils et bonnes pratiques à adopter.

Mesures Préventives

Filtrage sur proxy - Bloquer les téléchargements des exe avec squid3

On peut interdire tout accès au téléchargement d’exécutables directement depuis la passerelle de cache/filtrage Ajouter l'ACL suivante :

acl url_exe url_regex -i \.exe$ \.msi$ \.dll$

Avec le http_access correspondant

http_access deny url_exe

Cette solution est radicale mais elle ne bloque pas le téléchargement lorsque le lien est en https et n’empêche pas le téléchargement d'archives zip puisque c'est un format utilisé par de nombreuses personnes.

Stratégie de Restrictions Logiciels / AppLocker

En domaine Microsoft Active Directory

Voir l'article existant à ce sujet sur le Wiki : Stratégie_de_Restriction_Logiciel_et_Applocker

En domaine EOLE Scribe

Exécuter l'éditeur de stratégie local du poste

gpedit.msc

Puis configurer les stratégie de restriction logiciel expliquée dans l'article cité précédemment

Configuration Ordinateur\Paramètre\Windows\Paramètre de sécurité\Stratégie de restriction logiciel\

Ensuite pour copier déployer cette configuration d'un poste a un autre, il suffit de copier le dossier %systemroot%\system32\grouppolicy sur le poste qui n'a pas cette configuration.

Cette copie peux être automatisée avec un paquet wapt ou un script de démarrage. (ne pas oublier de faire un gpupdate /force pour forcer l'application des paramètres)

Bloquer l'execution des Macros

Les documents Office avec macros étant les principaux vecteurs de ransomware voici la démarche a suivre pour interdire leur execution

Domaine Microsoft Active Directory ou Samba 4

Télécharger les administrative Template files (ADMX/ADML) sur le site officiel de Microsoft:

Lancez l'installation et indiquez le bureau comme répertoire d'installation

Vous trouverez sur le bureau un dossier ADMX contenant les modèles de stratégies à copier/coller dans :

\\domain.lan\sysvol\domain.lan\Policies\PolicyDefinitions

Créez une nouvelle stratégie dans votre domaine et devrait apparaître dans :

 Configuration Utilisateur/Ordinateur > Stratégies > Modèles d'Administration 

Gpooffice.png

Descendez dans l'arborescence comme suit selon le produit Office (Excel,Word,Powerpoint) et la version (2010,2013) :

 Modèles d'Administration > Microsoft Produit Version > Options Produit > Sécurité > Centre de gestion de la confidentialité > Paramètres de notification de macro VBA

Choisissez les paramètres suivants :

 Activé >  Désactiver tous sans notification : l’application désactive toutes les macros, signées ou non, et les utilisateurs ne reçoivent pas de notification.

Gpooffice2.png Gpooffice3.png

Vous pouvez le faire pour les autres composants Office Excel,Publisher,Word etc..

Attention a ne pas désactiver complètement le VBA, cela peut paraître être une bonne idée mais si cela est activé les formule mathématique ne fonctionnerons plus.

Résultat attendu

Vous pouvez télécharger un fichier avec Macro tout a fait inoffensif sur ce site : Applications Excel "Jeux", à télécharger

Voici le résultat attendu

Blocagemacrovbaexcel.jpg

Trend Micro OfficeScan - Activation de la protection contre les logiciels de rançon

Pré-requis

Pour activer cette protection rendez vous dans le menu

 Agents > Gestion des Agents

Officescan1.png

Ensuite dans l'onglet

 Paramètres > Paramètres de surveillance des comportements

Officescan2.png

Activez les options suivantes :

  • Activer le blocage du comportement des programmes malveillants pour les menaces connues et potentielles
  • Protection des documents contre toute opération de chiffrement ou de modification non autorisée
  • Bloquer les processus généralement associés à des logiciels de rançons

Et Appliquez ensuite cette stratégie à tous les agents

Officescan3.png