En réaction au billet Comment se protéger des scripts malicieux sur Windows de Malekal.
→ "Pour être tranquille face à ces menaces, vous pouvez utiliser AnalogX Script Defender"
AnalogX Script Defender est paramétrable donc il est possible d'ajouter d'autres extensions.
ps: Par défaut, .vbs, .vbe, .js, .jse, .. sont bloqués donc le test de Malekal a du être faussé.
ps: AnalogX Script Defender comporte des bogues, notamment sur la désinstallation.
→ "Le plus efficace reste de désactiver Windows Script Host avec le DisableWSH.reg"
C'est un bon début et d'ailleurs DisableWSH.reg devrait être ré-écrit comme ceci :
Code : Tout sélectionner
Windows Registry Editor Version 5.00
[HKLM\Software\Microsoft\Windows Script Host\Settings]
"Enabled"="0"
"IgnoreUserSettings"="1"
"LogSecurityFailures"="1"
LogSecurityFailures activera l'audit des échecs ( eventvwr.msc )
ce qui permet d'inscrire les tentatives dans le journal système.
→ "Pour les paranos, en plus de désactiver WSH, changez les associations de fichiers..."
Si vous êtes un paranoïaque, cessez d'utiliser Microsoft Windows ;)
Aïe, là encore, c'est une fausse bonne idée que de raisonner ainsi.
Ces associations ne s'appliquent qu'à l'explorateur de fichiers.
L'an dernier dans des campagnes similaires, nous avons pu constater que les techniques employées ont tendance à varier. En 2015, il y a eu le virage "back to the oldschool", au lieu d'innover ils ont recyclés de vieilles techniques et à la surprise générale ça a plutôt fonctionné et ça fonctionne encore aujourd'hui. Je parle ici du retour des documents Microsoft Office piégés avec exécutions de macros VBA. Il y a également eu des tentatives un peu exotiques, comme par exemple les CHM et les LNK malveillants..., c'est précisément là dessus que je vais m'attarder un peu.
Les raccourcis piégés qui exécutent des commandes arbitraires sont particulièrement redoutables, aussi bien sur Windows que sous d'autres systèmes d'exploitations. Ils sont méconnus pour leurs dangers, très légers, facilement personnalisables et offre une porte d'entrée avec de nombreuses possibilités. C'est très étonnant qu'il n'y ait toujours pas davantage de vers / virus qui s'en prennent à ce format de fichier. Si la victime "ouvre" le raccourci piégé alors il devient très simple de prendre le contrôle du système et d'y pratiquer toutes sortes d'attaques : abaisser le niveau de sécurité, diminuer les capacités cryptographiques, élever ses privilèges, renifler passivement, identifier/scanner les réseaux internes, rebondir sur d'autres terminaux, bref.. la routine des intrus informatiques. En général sur ce sujet, on me réplique souvent "Mais ne faut-il pas des compétences particulières ?" à quoi je réponds "Oui, à la préhistoire. De nos jours les skiddies ont l'embarras du choix sur les frameworks gratuits librement diffusés."
Les charges embarquées peuvent-être assez agressives, on l'a vu par le passé avec les scripts de rançongiciels chiffreurs écrits en PowerShell. Parmi les commandes avant exécution du script, certaines peuvent faire office de "chargeur", exemple: de s'occuper de contourner certaines restrictions. Pour illustrer la difficulté de "se protéger des scripts malicieux", j'ai utilisé ce qu'on a déjà vu en circulation. J'ai donc construis 4 fichiers ( pwd: dragibus ) qui tentent, suivant plusieurs méthodes, de télécharger et d'exécuter le programme inoffensif "poc.exe" (pressez la touche Echap pour terminer le test). Les solutions suggérées ( Script Defender + "DisableWSH.reg" + extensions renommées ) vont t'elles vous protéger des scripts malicieux ? À vous de me le dire ...
J'ai testé d'autres formats que les LNK & CHM mais n'en ayant jamais vu en circulation ITW dans des campagnes il m'a semblé qu'aborder le sujet allait poser un problème éthique. L'important à retenir c'est qu'il ne faut jamais mésestimer les capacités de ses adversaires et qu'il ne faut jamais tomber dans le piège des illusions / croyances de la "sécurité totale" car le réveil face aux réalités est extrêmement brutal. Qui n'a jamais entendu des phrases comme "Comment ça se fait qu'on s'est fait trouer alors qu'on avait acheté des pare-feus et des antivirus!" ... moi quand j'entends ça j'imagine un type qui sort miraculeusement d'une tornade en s'exclamant "Non mais je suis tout trempé, j'avais pourtant un parapluie contre la pluie!"
On ne le répètera jamais assez : il n'y pas de solution pour se protéger de toutes les menaces.
L'approche la plus judicieuse reste tout de même celle qui va tenter de limiter les risques, en amont (filtrages: appliances/logiciels) avant réception des courriels avec pièces joints piégées. La plupart des logiciels antivirus sont capables de bloquer les exécutions de certains types de fichiers, à voir de ce côté là. Quant aux clients de messageries, en général ils ne sont jamais configurés : renforcer les règles de sécurité des courriels entrants ( ex: plugins sécuritaires ) + désactiver certaines fonctionnalités inutilisées, etc. Quoi qu'il advienne, le dernier rempart c'est l'utilisateur donc plus nous sommes informés et/ou formés des risques et enjeux, mieux c'est! En tout cas, si ça pouvait éviter les phrases du genre, "Non mais c'est pas ma faute, j'ai été obligé de couper l'antivirus car il ne voulait pas ouvrir le fichier quand je cliquais plusieurs fois dessus." ça serait déjà un grand pas.
→ Découvrez MARMITON, l'utilitaire qui limite les exécutions accidentelles de scripts.