Upload
bastien-bobe
View
88
Download
0
Embed Size (px)
Citation preview
Combattez les
ransomwares grâce à la
protection multi niveaux
Victor GONCALVES
& Bastien BOBE
Les menaces en 2017
L’évolution des menaces
F-Secure 2017
Quelques chiffres
0% 5% 10% 15% 20% 25% 30% 35%
Email : URL
Email : Pièce jointe
Site web infecté
Réseaux sociaux
Clé USB
Application interne
Source inconnue
Source des attaques
0
10000
20000
30000
40000
50000
60000
70000
Russie USA Canada France Ukraine
Attaques de WannaCry
Comment fonctionne un ransomware ?
Le payload chiffre les fichiers ou le disque
.locky
Le payload envoie la clé de chiffrement
aux serveurs
AES-128
Se propage par phishing ou par un
site web infecté
SMTP
Le payload affiche la demande de rançon
@BitCoins
Récupère un code malicieux sur Internet
payload.dll
Pourquoi votre antivirus ne peut pas tous les détecter ?
Démarrage
de la campagne
d’attaque
du ransomware
Fin de la 1ère
campagne
d’attaque
Publication des
définitions antivirus
Analyse de la campagne du ransomware WannaCry
12 mai
14H3015h00 15h30 16h00 17h00
Le cas spécifique de WannaCry
Le payload chiffre et renomme les fichiers
.WNRY
Le payload affiche la demande de rançon
Le payload est éxécutépar l’exploit
mssecsvc.exe
Utilise une vulnérabilitéMicrosoft SMB
EternalBlue
Cherche d’autres cibles
sur le réseau
Exploite la même
vulnérabilité
Le cas spécifique de WannaCry
WannaCry n’était que la première vague
Publication massive d’outils de hack utilisé par la
CIA (DarkMatter)
Athena : exécution persistante de code à distance
dans Windows (de XP à Win10)
SonicScrewdriver : exécution de code au démarrage
DarkSeaSkies : code ciblant le boot EFI, le noyau
Windows et l’espace utilisateur
Triton : code ciblant MacOS et pouvant s’installer en
tant que service
Marbled Framework : injection d’exploit dans un
programme pour masquer son identité
GrassHopper : utilise Windows Update pour exécuter
du code persistant ou non-persistantMargarita, l’outil de conception
de launcher de la CIA
Le ransomware-as-a-service
WannaCry : Démonstration
Comment bloquer un
ransomware ?
En terme de sécurité,
l’utilisateur reste
toujours la principale
faiblesse…
Comment bien se protéger ?
85%permet de
limiter au
moins
Mettre en place ces 4 stratégies
des intrusions
malveillantes
1
Appliquez les
correctifs systèmes
2
Appliquez les
correctifs applicatifs
4
Gérez les privilèges
utilisateurs
3
Contrôlez les
applications
Appliquez les correctifs systèmes et applicatifs
Ivanti Patch supporte les 60
applications les plus
vulnérables
Ivanti Patch supporte les
systèmes d’exploitation
suivants
Gérez les applications et les droits d’accès
WHITELISTING
ADAPTATIF INTELLIGENT
Gestion de l’utilisateur
Gestion du contexte
Intégration des nouveaux logiciels et
correctifs de sécurité
Approbation les éditeurs de confiance
Autorisation des applications existantes
Evolution automatique du patrimoine
applicatif
Gérez les droits utilisateurs
GESTION DES DROITS
UTILISATEUR
ADAPTATIF EFFICACE
Adapté au contexte
Adapté à l’application et à l’utilisateur
Autorisation à la volée des applications
Intégration avec le HelpDesk
Gestion des applications nécessitant
les droits d’administration
Comment se prémunir contre un
ransomware ?
Ivanti Endpoint Security
1 console, 1 agent, 100% sécurisé
1
Patch Management
2
Application Control
4
Antivirus
3
Device Control
Questions
Blocage d’un ransomware avec du
WhiteListing
Merci