Scripts malveillants & contournements, l'écho des revenants

Répondre
Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Scripts malveillants & contournements, l'écho des revenants

Message par ѠOOT » 04 mars 2016 20:07

Bonjour,

En réaction au billet Comment se protéger des scripts malicieux sur Windows de Malekal.

→ "Pour être tranquille face à ces menaces, vous pouvez utiliser AnalogX Script Defender"
AnalogX Script Defender est paramétrable donc il est possible d'ajouter d'autres extensions.
ps: Par défaut, .vbs, .vbe, .js, .jse, .. sont bloqués donc le test de Malekal a du être faussé.
ps: AnalogX Script Defender comporte des bogues, notamment sur la désinstallation.

→ "Le plus efficace reste de désactiver Windows Script Host avec le DisableWSH.reg"
C'est un bon début et d'ailleurs DisableWSH.reg devrait être ré-écrit comme ceci :

Code : Tout sélectionner

Windows Registry Editor Version 5.00

[HKLM\Software\Microsoft\Windows Script Host\Settings]
"Enabled"="0"
"IgnoreUserSettings"="1"
"LogSecurityFailures"="1"
IgnoreUserSettings va ignorer les paramètres des utilisateurs.
LogSecurityFailures activera l'audit des échecs ( eventvwr.msc )
ce qui permet d'inscrire les tentatives dans le journal système.

→ "Pour les paranos, en plus de désactiver WSH, changez les associations de fichiers..."

Si vous êtes un paranoïaque, cessez d'utiliser Microsoft Windows ;)
Aïe, là encore, c'est une fausse bonne idée que de raisonner ainsi.
Ces associations ne s'appliquent qu'à l'explorateur de fichiers.

L'an dernier dans des campagnes similaires, nous avons pu constater que les techniques employées ont tendance à varier. En 2015, il y a eu le virage "back to the oldschool", au lieu d'innover ils ont recyclés de vieilles techniques et à la surprise générale ça a plutôt fonctionné et ça fonctionne encore aujourd'hui. Je parle ici du retour des documents Microsoft Office piégés avec exécutions de macros VBA. Il y a également eu des tentatives un peu exotiques, comme par exemple les CHM et les LNK malveillants..., c'est précisément là dessus que je vais m'attarder un peu.

Les raccourcis piégés qui exécutent des commandes arbitraires sont particulièrement redoutables, aussi bien sur Windows que sous d'autres systèmes d'exploitations. Ils sont méconnus pour leurs dangers, très légers, facilement personnalisables et offre une porte d'entrée avec de nombreuses possibilités. C'est très étonnant qu'il n'y ait toujours pas davantage de vers / virus qui s'en prennent à ce format de fichier. Si la victime "ouvre" le raccourci piégé alors il devient très simple de prendre le contrôle du système et d'y pratiquer toutes sortes d'attaques : abaisser le niveau de sécurité, diminuer les capacités cryptographiques, élever ses privilèges, renifler passivement, identifier/scanner les réseaux internes, rebondir sur d'autres terminaux, bref.. la routine des intrus informatiques. En général sur ce sujet, on me réplique souvent "Mais ne faut-il pas des compétences particulières ?" à quoi je réponds "Oui, à la préhistoire. De nos jours les skiddies ont l'embarras du choix sur les frameworks gratuits librement diffusés."

Les charges embarquées peuvent-être assez agressives, on l'a vu par le passé avec les scripts de rançongiciels chiffreurs écrits en PowerShell. Parmi les commandes avant exécution du script, certaines peuvent faire office de "chargeur", exemple: de s'occuper de contourner certaines restrictions. Pour illustrer la difficulté de "se protéger des scripts malicieux", j'ai utilisé ce qu'on a déjà vu en circulation. J'ai donc construis 4 fichiers ( pwd: dragibus ) qui tentent, suivant plusieurs méthodes, de télécharger et d'exécuter le programme inoffensif "poc.exe" (pressez la touche Echap pour terminer le test). Les solutions suggérées ( Script Defender + "DisableWSH.reg" + extensions renommées ) vont t'elles vous protéger des scripts malicieux ? À vous de me le dire ...

Image

J'ai testé d'autres formats que les LNK & CHM mais n'en ayant jamais vu en circulation ITW dans des campagnes il m'a semblé qu'aborder le sujet allait poser un problème éthique. L'important à retenir c'est qu'il ne faut jamais mésestimer les capacités de ses adversaires et qu'il ne faut jamais tomber dans le piège des illusions / croyances de la "sécurité totale" car le réveil face aux réalités est extrêmement brutal. Qui n'a jamais entendu des phrases comme "Comment ça se fait qu'on s'est fait trouer alors qu'on avait acheté des pare-feus et des antivirus!" ... moi quand j'entends ça j'imagine un type qui sort miraculeusement d'une tornade en s'exclamant "Non mais je suis tout trempé, j'avais pourtant un parapluie contre la pluie!"

On ne le répètera jamais assez : il n'y pas de solution pour se protéger de toutes les menaces.

L'approche la plus judicieuse reste tout de même celle qui va tenter de limiter les risques, en amont (filtrages: appliances/logiciels) avant réception des courriels avec pièces joints piégées. La plupart des logiciels antivirus sont capables de bloquer les exécutions de certains types de fichiers, à voir de ce côté là. Quant aux clients de messageries, en général ils ne sont jamais configurés : renforcer les règles de sécurité des courriels entrants ( ex: plugins sécuritaires ) + désactiver certaines fonctionnalités inutilisées, etc. Quoi qu'il advienne, le dernier rempart c'est l'utilisateur donc plus nous sommes informés et/ou formés des risques et enjeux, mieux c'est! En tout cas, si ça pouvait éviter les phrases du genre, "Non mais c'est pas ma faute, j'ai été obligé de couper l'antivirus car il ne voulait pas ouvrir le fichier quand je cliquais plusieurs fois dessus." ça serait déjà un grand pas.

→ Découvrez MARMITON, l'utilitaire qui limite les exécutions accidentelles de scripts.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

lansing
Messages : 4
Inscription : 26 mars 2016 15:35

Re: Scripts malveillants & contournements, l'écho des revena

Message par lansing » 26 mars 2016 15:39

Bonjour,

Deux questions de ce fait :
- Est ce que le fait de désactiver le Windows Scripting Host empêche Windows Update de se faire sur Vista et les versions suivantes ?

- Comment désactiver quand même l'association des types de fichiers indiqués dans cet article, (sans parler des .ps et &), via le registre ou une GPO ?

Merci d'avance

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85144
Inscription : 10 sept. 2005 13:57
Contact :

Re: Scripts malveillants & contournements, l'écho des revena

Message par Malekal_morte » 26 mars 2016 18:06

Non pour les mises à jour Windows Update et pour les associations de fichiers en GPO, regarde .
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Scripts malveillants & contournements, l'écho des revena

Message par ѠOOT » 26 mars 2016 18:06

Bonjour,

A ma connaissance, la simple désactivation de WSH ne perturbe pas Windows Update, l'opération n'est pas irréversible donc faites un test et si ça coince le réactiver. Pour les associations de fichiers, s'inspirer de ceci :

Code : Tout sélectionner

REG ADD HKCR\JSFile\Shell /v "" /t REG_SZ /d Edit /f
REG ADD HKCR\JSEFile\Shell /v "" /t REG_SZ /d Edit /f
REG ADD HKCR\WSHFile\Shell /v "" /t REG_SZ /d Edit /f
REG ADD HKCR\WSFFile\Shell /v "" /t REG_SZ /d Edit /f
REG ADD HKCR\VBSFile\Shell /v "" /t REG_SZ /d Edit /f
REG ADD HKCR\VBEFile\Shell /v "" /t REG_SZ /d Edit /f
Ce qui va avoir pour effet de modifier l'action "par défaut" ( Open ) de l'explorateur de fichiers sur les fichiers jugés à risque ( ici, JS, JSE, WSH, WSF, VBS, VBE ) de façon à ce que les utilisateurs atteints du syndrome du "clique compulsif" inscrits au fan-club des exécutions accidentelles vont éditer ( Edit ) plutôt qu'exécuter. C'est sur ce principe qu'a été créé MARMITON.

De même, pour limiter les accidents de scripts PowerShell mettre en place une politique d'exécution avec audits ( ExecutionPolicy via GPO ). Lire les recommandations CERTFR-2016-ACT-002.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

lansing
Messages : 4
Inscription : 26 mars 2016 15:35

Re: Scripts malveillants & contournements, l'écho des revena

Message par lansing » 29 mars 2016 10:57

J'ai mis tout ça en place en GPO. Sinon, même s'il s'agit apparemment de la valeur par défaut, j'ai désactivé l'exécution des scripts PowerShell via Composants Windows / PowerShell.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85144
Inscription : 10 sept. 2005 13:57
Contact :

Re: Scripts malveillants & contournements, l'écho des revena

Message par Malekal_morte » 29 mars 2016 12:26

N'ayant pas de domaine sous la main, je veux bien une capture d'écran des GPO.
Je les mettrai sur les pages concernant les scripts.

D'avance merci PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

lansing
Messages : 4
Inscription : 26 mars 2016 15:35

Re: Scripts malveillants & contournements, l'écho des revena

Message par lansing » 29 mars 2016 13:47

Presse-papiers-2.jpg
Stratégie de sécurité
Et je fait appel à un script utilisateur (pas ordinateur) qui modifie le Registre Windows.

Eliastik
newbie
newbie
Messages : 23
Inscription : 30 janv. 2016 13:21
Contact :

Re: Scripts malveillants & contournements, l'écho des revena

Message par Eliastik » 01 avr. 2016 18:31

Est-ce que le fait de mettre en liste noire wscript.exe dans un pare-feu peut l'empêcher de se connecter à Internet ? Car j'ai un doute puisque c'est un processus système...
Mon site web qui présente mes programmes informatiques : http://www.eliastiksofts.com

Berclav
newbie
newbie
Messages : 17
Inscription : 18 juin 2015 17:13

Re: Scripts malveillants & contournements, l'écho des revena

Message par Berclav » 17 avr. 2016 11:16

De toute façon mieux vaut mettre tout processus Système dans la lite applications bloquées, non ?
C'est ce que je fais depuis bien longtemps.

Windows Management >>>>>>>>>>> Blocked Application
Windows System Applications>>>>>> Blocked Application

sur Comodo 5.10 (vieille version)

+ règles de blocage

System >>>>>>>>>>>>>>>>>>>>>>>> Block All Incoming and Outgoing Requests
Svchost.exe >>>>>>>>>>>>>>>>>>>> Block All Incoming and Outgoing Requests

et hop !

probablement redondant mais bon

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85144
Inscription : 10 sept. 2005 13:57
Contact :

Re: Scripts malveillants & contournements, l'écho des revena

Message par Malekal_morte » 17 avr. 2016 12:43

Eliastik a écrit :Est-ce que le fait de mettre en liste noire wscript.exe dans un pare-feu peut l'empêcher de se connecter à Internet ? Car j'ai un doute puisque c'est un processus système...
C'est intéressant, si tu as un wscript.exe qui a besoin de se connecter à internet pour filtrer.
Mais j'en doute, ça reste rare qu'on ait un script qui nécessite de se connecter à internet.
Autant interdire Windows Script Host.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

marticot
Geek à longue barbe
Geek à longue barbe
Messages : 605
Inscription : 22 nov. 2007 12:27

Re: Scripts malveillants & contournements, l'écho des revena

Message par marticot » 07 sept. 2016 22:22

Bonjour

J'ai essayé de l'installer et voici ce qui s’est affiché. Que faire, svp ?
Pièces jointes
Malekal2.PNG
Alertes suite aux contrôles d'intégrités, arrêt de l'installation.

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Scripts malveillants & contournements, l'écho des revena

Message par ѠOOT » 07 sept. 2016 23:40

Bonjour,

C'est un message de sécurité qui indique que le contenu de l'installeur a été altéré. En clair, le fichier que vous avez téléchargé n'est pas/plus valide. Téléchargez MARMITON une nouvelle fois. Si vous utilisez Blockulicious, désactivez le temporairement : il est connu pour occasionner ce type de problèmes.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

marticot
Geek à longue barbe
Geek à longue barbe
Messages : 605
Inscription : 22 nov. 2007 12:27

Re: Scripts malveillants & contournements, l'écho des revena

Message par marticot » 08 sept. 2016 02:16

OK, c'était mon uBlock Origin. Super, c'est bon ça a fonctionné. Merci

Avatar de l’utilisateur
SEPPI
newbie
newbie
Messages : 11
Inscription : 23 oct. 2016 11:51
Localisation : Indre et Loire

Re: Scripts malveillants & contournements, l'écho des revena

Message par SEPPI » 25 oct. 2016 15:06

Bonjour,

J'ai installé Marmiton et j'ai fais le test conseillé. Il a bien fonctionné car il y a eu la détection du script mais ensuite j'ai un problème, je n'arrive plus à fermer la fenêtre d'avertissement ( l'alerte ) : je suis obligé de redémarrer...

J'ai du manquer quelque chose..
Merci pour l'aide.
Seppi

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Scripts malveillants & contournements, l'écho des revena

Message par ѠOOT » 26 nov. 2016 17:53

Bonjour SEPPI,

Pour fermer l'avertissement, soit vous :
- cliquez sur la fenêtre active
- appuyer sur la touche ECHAP
- appuyer sur la touche ENTREE

Si vous avez d'autres questions, lisez la F.A.Q MARMITON
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Répondre

Revenir vers « Tech, Tips & Tricks »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité