Sélectionner une page

WS-Shield Honeypot for Ransomware

ASSUREZ LA SECURITE DE VOS SERVEURS ET POSTES DE TRAVAIL WINDOWS

Le ransomware est à la mode. Aujourd’hui lagement médiatisé à la suite d’attaques de grande envergure, les éditeurs enrichissent leur antivirus d’une solution pour lutter contre cette forme de cybercriminalité. Windows 10 propose un module anti-ransomware qui se paramètre à partir de l’interface de Windows Defender. C’est une surveillance de l’existant qui interroge l’utilisateur sur les activités en cours. Nous sommes dans une logique d’UAC en monoposte. WS-Shield complète les dispositifs déjà en place ou fait office de dispositif unique pour lutter contre les tentatives de cryptage des fichiers par un logiciel malveillant.

Partant du principe que les cybercriminels font évoluer leurs armes de manière à les rendre indétectables aux yeux des antivirus, signatures, souches, extentions particulières référencées, noms, URL de téléchargement sont modifiés constamment. WS-Shield vous propose de créer un ensemble de fichiers Word, Excel, texte et PDF dans différents endroits des profils utilisateurs et du poste lui même. Les options de la section Honeypots locations correspondent aux choix que vous pouvez faire selon le contexte opérationnel. Cela détermine les emplacements dans lesquels WS-Shield va créer ses hierarchies de documents appâts. Si le ransomware change ce qui le rend reconnaissable, son comportement reste identique: il parcourt des hierarchies pour ouvrir des documents, les encrypter et les enregistrer. Windows offre des possibilités d’être informé immédiatement de tout document ouvert, modifié, supprimé. Reste à savoir pour l’observateur de ces évenements si le fichier signalé est légitimement modifié ou s’il est victime d’un cryptolocker. Pour WS-Shield, s’il s’agit de l’un de ses documents appats, le doute n’a pas lieu d’être. La liste à droite de la fenêtre affiche l’ensemble des documents créés par WS-Shield au niveau global et pour chaque profil utilisateur. les utilisateurs doivent être informés de la présence de ces appats et ils doivent éviter de les modifier sinon dans le cas de tests pour voir et comprendre les procédures de réaction de WS-Shield.

Les options comprisent dans la partie Detection options complètent et affinent le dispositif. La première case à cocher, Emergency mode in case of detection, est celle qui vous permet de passer d’un mode d’apprentissage et d’observateur à un mode réaction vive. Cette option cochée, vous n’êtes plus dans le cadre de l’exercice, mais dans le cadre de la situation réelle. Ce qui est définissable au niveau de la section In Emergency case devient actif, et en ce qui concerne la surveillance des applications, WS-Shield ne se contente plus d’enregistrer celle qui ne répondent pas aux critères fixés, il stoppe le processus immédiatement. Rendu à ce stade, ne vous étonnez pas que l’installeur d’un nouveau programme que vous venez de télécharger sur le poste quitte brusquement à peine lancé. Rendez-vous ici, décochez Emergency mode in case of detection et appliquez, ou bien désactivez le honeypot le temps de modifier le poste.

Une fois Emergency mode in case of detection coché, notez les changements de libellé des deux options en bas de la fenêtre: de Log applications not listed in the Dump et Log applications not installed in Program Files or Windows folders, on passe à Kill applications. Tant que ce mécanisme n’est pas amorcé, WS-Shield enregistre ce qui sort des limites définies et alimente la section Excepted for this app. C’est un champ texte saisissable que vous modifierez selon vos besoins en ajoutant ou supprimant les executables qui doivent y figurer. Seul le nom et l’extention sont à renseigner en resptectant la règle d’une application par ligne.

PDF files have not to be modified

Cette option est à cocher sur les postes où les fichiers PDF sont statiques. Le contrôle est limitée aux fichiers se trouvant dans le dossier des profils utilisateurs courant.

JPG files have not to be modified

Cette option est à cocher sur les postes où les photos et images au format jpeg ne sont pas retouchées, mais simplement stockées. La limite du contrôle est identique à l’option similaire.

Watching for files extentions

Bien que rendu obsolète avec les nouvelles générations de ransomwares, les anciennes souches signent courament leurs méfaits par l’extention apposée au fichier encrypté.

L’option Archive folder vous donne l’opportunité d’indiquer à WS-Shield l’emplacement d’un dossier dont le contenu est constitué de documents non modifiés. C’est le cas lorsqu’il sagit d’un dossier archivant des fichiers au cours du temps. L’ajout ou la suppression de contenus n’est pas pris en compte par WS-Shield.

Testez votre application de sauvegarde et voyez comment WS-Shield réagit au remplacement d’un document par sa version plus récente. Cela peut s’avérer opportun à exploiter. Ou bien encore, placez sur une autre partition un dossier fictif constitué de vos documents copiés ici avec l’intention de créer un honeypot en dehors du volume système et du dossier où sont stockés les profils.

Quelques tests de performances sont à mener dans le cas de chemins réseau, soit parce que les profils sont des profils réseau soit parce que le dossier archive que vous sélectionnez est une ressource réseau. Dans ce dernier cas, c’est intéressant de le faire, car le ransomware peut chercher en premier à atteindre les contenus partagés et disponibles via des volumes montés. 

Pour chaqu’une des ressources que WS-Shield est chargé de surveiller, l’application demande au système opérationnel d’enregistrer dans l’observateur d’évènements le suivit de cette activité, cela sous forme d’un audit que vous pouvez consulter dans le journal de sécurité. WS-Shield utilise cet audit lors de la détection d’une anomalie pour retrouver l’application à l’origine de la modification. 

WS-Shield Sécurité Honeypot Instrusion Ransomware Fishing ⊂⊃ WS-Shield Sécurité Honeypot Instrusion Ransomware Fishing

In Emergency case

AGIR SANS DELAIS

Le ransomware peut agir très vite ou lentement. Il tente de crypter un maximum de fichiers le plus rapidement possible avant de se faire détecter, ou alors il crypte disrètement les fichiers qui ne sont pas modifiés depuis longtemps avant de s’attaquer aux fichiers les plus récents.

Lorsque vous aurez pris en main WS-Shield et que vous passerez en production, posez-vous cette question: en cas d’attaque, faut-il redémarrer en mode sans échec afin de s’assurer que le cryptolocker ne peut plus nuire, ou cette solution n’est-elle pas exploitable sur le poste concerné?

Ensuite, considérez le fait qu’envoyer un email, ça prend du temps, rechercher dans les derniers évènements du journal de sécurité Windows l’application responsable, ça prend du temps. Même si ce temps s’exprime en millisecondes, c’est tout autant de temps donné au cryptolocker pour poursuivre son activité malveillante. Ce dernier peut monopoliser le processeur et l’accès au disque dur, ralentissant ainsi les autres dispositifs de sécurité dont WS-Shield. 

La création d’un compte administrateur que propose WS-Shield se fait au moment de la détection. Ce compte ne peut donc pas être compromis par le virus en amont de son activité. Si le compte administrateur que vous utilisez sur le poste compromis n’est plus exploitable, vous recourez au compte créé par WS-Shield sur votre demande.

Le ransomware qui s’introduit sur le poste par le biais d’une pièce jointe ou une page web est majoritairement sous la forme d’un script. Son action a des chances d’être limitée au périmètre des droits de l’utlisateur. Le ransomware qui s’introduit sur le poste par le biais d’un logiciel qu’on installe et qui véhicule le virus peut aller beaucoup plus loin dans son action. Sous forme d’un service ses marges de manoeuvres sont très étendues. C’est dans cette éventualité que WS-Shield surveille l’activité au niveau de la session ouverte et au niveau du service qu’il exploite. 

La surveillance des applications

CELLES QUI SONT REFERENCEES ONT LE DROIT DE S'EXECUTER

Faire un dump de toutes les .exe présents sur le poste dans le dossier Program Files, le dossier Windows et les dossiers des profils utilisateur fourni une information que WS-Shield exploite en vérifiant que toutes les applications actuellement en cours d’exécution sont référencées dans ce dump. WS-Shield consigne la présence d’inconnus ou en termine l’execution si vous avez coché l’option Emergency mode in case of detection. 

Un autre contrôle des applications se fait en se basant sur les best practices de Microsoft qui recommande d’installer les applications dans le dossier Program Files. L’activité des executables doit donc se limiter à ceux qui sont dans le dossier Program Files et le dossier Windows. La pratique montre que bien des éditeurs dont Microsoft lancent des applications depuis le dossier AppData du profil utilisateur. La période d’apprentissage, autrement avant d’opter pour le mode d’urgence, vous informe sur ces applications délocalisées qui sont référencées automatiquement dans les exceptions à observer par WS-Shield.

La création et la mise à jour du dump prend un peu de temps, de l’ordre de quelques minutes. Les hiérarchies sont profondes, le nombre de dossiers à explorer très nombreux et la quantité de .exe sur un poste dépasse couramment les 2000.