Scripts malveillants & contournements, l'écho des revenants

ѠOOT

Scripts malveillants & contournements, l'écho des revenants

par ѠOOT »

Bonjour,

En réaction au billet Comment se protéger des scripts malicieux sur Windows de Malekal.

→ "Pour être tranquille face à ces menaces, vous pouvez utiliser AnalogX Script Defender"
AnalogX Script Defender est paramétrable donc il est possible d'ajouter d'autres extensions.
ps: Par défaut, .vbs, .vbe, .js, .jse, .. sont bloqués donc le test de Malekal a du être faussé.
ps: AnalogX Script Defender comporte des bogues, notamment sur la désinstallation.

→ "Le plus efficace reste de désactiver Windows Script Host avec le DisableWSH.reg"
C'est un bon début et d'ailleurs DisableWSH.reg devrait être ré-écrit comme ceci :

Code : Tout sélectionner

Windows Registry Editor Version 5.00

[HKLM\Software\Microsoft\Windows Script Host\Settings]
"Enabled"="0"
"IgnoreUserSettings"="1"
"LogSecurityFailures"="1"
IgnoreUserSettings va ignorer les paramètres des utilisateurs.
LogSecurityFailures activera l'audit des échecs ( eventvwr.msc )
ce qui permet d'inscrire les tentatives dans le journal système.

→ "Pour les paranos, en plus de désactiver WSH, changez les associations de fichiers..."

Si vous êtes un paranoïaque, cessez d'utiliser Microsoft Windows ;)
Aïe, là encore, c'est une fausse bonne idée que de raisonner ainsi.
Ces associations ne s'appliquent qu'à l'explorateur de fichiers.

L'an dernier dans des campagnes similaires, nous avons pu constater que les techniques employées ont tendance à varier. En 2015, il y a eu le virage "back to the oldschool", au lieu d'innover ils ont recyclés de vieilles techniques et à la surprise générale ça a plutôt fonctionné et ça fonctionne encore aujourd'hui. Je parle ici du retour des documents Microsoft Office piégés avec exécutions de macros VBA. Il y a également eu des tentatives un peu exotiques, comme par exemple les CHM et les LNK malveillants..., c'est précisément là dessus que je vais m'attarder un peu.

Les raccourcis piégés qui exécutent des commandes arbitraires sont particulièrement redoutables, aussi bien sur Windows que sous d'autres systèmes d'exploitations. Ils sont méconnus pour leurs dangers, très légers, facilement personnalisables et offre une porte d'entrée avec de nombreuses possibilités. C'est très étonnant qu'il n'y ait toujours pas davantage de vers / virus qui s'en prennent à ce format de fichier. Si la victime "ouvre" le raccourci piégé alors il devient très simple de prendre le contrôle du système et d'y pratiquer toutes sortes d'attaques : abaisser le niveau de sécurité, diminuer les capacités cryptographiques, élever ses privilèges, renifler passivement, identifier/scanner les réseaux internes, rebondir sur d'autres terminaux, bref.. la routine des intrus informatiques. En général sur ce sujet, on me réplique souvent "Mais ne faut-il pas des compétences particulières ?" à quoi je réponds "Oui, à la préhistoire. De nos jours les skiddies ont l'embarras du choix sur les frameworks gratuits librement diffusés."

Les charges embarquées peuvent-être assez agressives, on l'a vu par le passé avec les scripts de rançongiciels chiffreurs écrits en PowerShell. Parmi les commandes avant exécution du script, certaines peuvent faire office de "chargeur", exemple: de s'occuper de contourner certaines restrictions. Pour illustrer la difficulté de "se protéger des scripts malicieux", j'ai utilisé ce qu'on a déjà vu en circulation. J'ai donc construis 4 fichiers ( pwd: dragibus ) qui tentent, suivant plusieurs méthodes, de télécharger et d'exécuter le programme inoffensif "poc.exe" (pressez la touche Echap pour terminer le test). Les solutions suggérées ( Script Defender + "DisableWSH.reg" + extensions renommées ) vont t'elles vous protéger des scripts malicieux ? À vous de me le dire ...

Image

J'ai testé d'autres formats que les LNK & CHM mais n'en ayant jamais vu en circulation ITW dans des campagnes il m'a semblé qu'aborder le sujet allait poser un problème éthique. L'important à retenir c'est qu'il ne faut jamais mésestimer les capacités de ses adversaires et qu'il ne faut jamais tomber dans le piège des illusions / croyances de la "sécurité totale" car le réveil face aux réalités est extrêmement brutal. Qui n'a jamais entendu des phrases comme "Comment ça se fait qu'on s'est fait trouer alors qu'on avait acheté des pare-feus et des antivirus!" ... moi quand j'entends ça j'imagine un type qui sort miraculeusement d'une tornade en s'exclamant "Non mais je suis tout trempé, j'avais pourtant un parapluie contre la pluie!"

On ne le répètera jamais assez : il n'y pas de solution pour se protéger de toutes les menaces.

L'approche la plus judicieuse reste tout de même celle qui va tenter de limiter les risques, en amont (filtrages: appliances/logiciels) avant réception des courriels avec pièces joints piégées. La plupart des logiciels antivirus sont capables de bloquer les exécutions de certains types de fichiers, à voir de ce côté là. Quant aux clients de messageries, en général ils ne sont jamais configurés : renforcer les règles de sécurité des courriels entrants ( ex: plugins sécuritaires ) + désactiver certaines fonctionnalités inutilisées, etc. Quoi qu'il advienne, le dernier rempart c'est l'utilisateur donc plus nous sommes informés et/ou formés des risques et enjeux, mieux c'est! En tout cas, si ça pouvait éviter les phrases du genre, "Non mais c'est pas ma faute, j'ai été obligé de couper l'antivirus car il ne voulait pas ouvrir le fichier quand je cliquais plusieurs fois dessus." ça serait déjà un grand pas.

→ Découvrez MARMITON, l'utilitaire qui limite les exécutions accidentelles de scripts.
lansing

Re: Scripts malveillants & contournements, l'écho des revena

par lansing »

Bonjour,

Deux questions de ce fait :
- Est ce que le fait de désactiver le Windows Scripting Host empêche Windows Update de se faire sur Vista et les versions suivantes ?

- Comment désactiver quand même l'association des types de fichiers indiqués dans cet article, (sans parler des .ps et &), via le registre ou une GPO ?

Merci d'avance
Malekal_morte
Messages : 116525
Inscription : 10 sept. 2005 13:57

Re: Scripts malveillants & contournements, l'écho des revena

par Malekal_morte »

Non pour les mises à jour Windows Update et pour les associations de fichiers en GPO, regarde .
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ѠOOT

Re: Scripts malveillants & contournements, l'écho des revena

par ѠOOT »

Bonjour,

A ma connaissance, la simple désactivation de WSH ne perturbe pas Windows Update, l'opération n'est pas irréversible donc faites un test et si ça coince le réactiver. Pour les associations de fichiers, s'inspirer de ceci :

Code : Tout sélectionner

REG ADD HKCR\JSFile\Shell /v "" /t REG_SZ /d Edit /f
REG ADD HKCR\JSEFile\Shell /v "" /t REG_SZ /d Edit /f
REG ADD HKCR\WSHFile\Shell /v "" /t REG_SZ /d Edit /f
REG ADD HKCR\WSFFile\Shell /v "" /t REG_SZ /d Edit /f
REG ADD HKCR\VBSFile\Shell /v "" /t REG_SZ /d Edit /f
REG ADD HKCR\VBEFile\Shell /v "" /t REG_SZ /d Edit /f
Ce qui va avoir pour effet de modifier l'action "par défaut" ( Open ) de l'explorateur de fichiers sur les fichiers jugés à risque ( ici, JS, JSE, WSH, WSF, VBS, VBE ) de façon à ce que les utilisateurs atteints du syndrome du "clique compulsif" inscrits au fan-club des exécutions accidentelles vont éditer ( Edit ) plutôt qu'exécuter. C'est sur ce principe qu'a été créé MARMITON.

De même, pour limiter les accidents de scripts PowerShell mettre en place une politique d'exécution avec audits ( ExecutionPolicy via GPO ). Lire les recommandations CERTFR-2016-ACT-002.
lansing

Re: Scripts malveillants & contournements, l'écho des revena

par lansing »

J'ai mis tout ça en place en GPO. Sinon, même s'il s'agit apparemment de la valeur par défaut, j'ai désactivé l'exécution des scripts PowerShell via Composants Windows / PowerShell.
Malekal_morte
Messages : 116525
Inscription : 10 sept. 2005 13:57

Re: Scripts malveillants & contournements, l'écho des revena

par Malekal_morte »

N'ayant pas de domaine sous la main, je veux bien une capture d'écran des GPO.
Je les mettrai sur les pages concernant les scripts.

D'avance merci PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
lansing

Re: Scripts malveillants & contournements, l'écho des revena

par lansing »

Presse-papiers-2.jpg
Et je fait appel à un script utilisateur (pas ordinateur) qui modifie le Registre Windows.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Eliastik

Re: Scripts malveillants & contournements, l'écho des revena

par Eliastik »

Est-ce que le fait de mettre en liste noire wscript.exe dans un pare-feu peut l'empêcher de se connecter à Internet ? Car j'ai un doute puisque c'est un processus système...
Berclav

Re: Scripts malveillants & contournements, l'écho des revena

par Berclav »

De toute façon mieux vaut mettre tout processus Système dans la lite applications bloquées, non ?
C'est ce que je fais depuis bien longtemps.

Windows Management >>>>>>>>>>> Blocked Application
Windows System Applications>>>>>> Blocked Application

sur Comodo 5.10 (vieille version)

+ règles de blocage

System >>>>>>>>>>>>>>>>>>>>>>>> Block All Incoming and Outgoing Requests
Svchost.exe >>>>>>>>>>>>>>>>>>>> Block All Incoming and Outgoing Requests

et hop !

probablement redondant mais bon
Malekal_morte
Messages : 116525
Inscription : 10 sept. 2005 13:57

Re: Scripts malveillants & contournements, l'écho des revena

par Malekal_morte »

Eliastik a écrit :Est-ce que le fait de mettre en liste noire wscript.exe dans un pare-feu peut l'empêcher de se connecter à Internet ? Car j'ai un doute puisque c'est un processus système...
C'est intéressant, si tu as un wscript.exe qui a besoin de se connecter à internet pour filtrer.
Mais j'en doute, ça reste rare qu'on ait un script qui nécessite de se connecter à internet.
Autant interdire Windows Script Host.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
marticot
Messages : 615
Inscription : 22 nov. 2007 11:27

Re: Scripts malveillants & contournements, l'écho des revena

par marticot »

Bonjour

J'ai essayé de l'installer et voici ce qui s’est affiché. Que faire, svp ?
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
ѠOOT

Re: Scripts malveillants & contournements, l'écho des revena

par ѠOOT »

Bonjour,

C'est un message de sécurité qui indique que le contenu de l'installeur a été altéré. En clair, le fichier que vous avez téléchargé n'est pas/plus valide. Téléchargez MARMITON une nouvelle fois. Si vous utilisez Blockulicious, désactivez le temporairement : il est connu pour occasionner ce type de problèmes.
marticot
Messages : 615
Inscription : 22 nov. 2007 11:27

Re: Scripts malveillants & contournements, l'écho des revena

par marticot »

OK, c'était mon uBlock Origin. Super, c'est bon ça a fonctionné. Merci
Avatar de l’utilisateur
SEPPI
Messages : 47
Inscription : 23 oct. 2016 11:51
Localisation : Indre et Loire

Re: Scripts malveillants & contournements, l'écho des revena

par SEPPI »

Bonjour,

J'ai installé Marmiton et j'ai fais le test conseillé. Il a bien fonctionné car il y a eu la détection du script mais ensuite j'ai un problème, je n'arrive plus à fermer la fenêtre d'avertissement ( l'alerte ) : je suis obligé de redémarrer...

J'ai du manquer quelque chose..
Merci pour l'aide.
Seppi
ѠOOT

Re: Scripts malveillants & contournements, l'écho des revena

par ѠOOT »

Bonjour SEPPI,

Pour fermer l'avertissement, soit vous :
- cliquez sur la fenêtre active
- appuyer sur la touche ECHAP
- appuyer sur la touche ENTREE

Si vous avez d'autres questions, lisez la F.A.Q MARMITON
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Tech, Tips & Tricks »