X
Le rack. La pièce essentielle de votre infrastructure informatique

News Partenaire

Le rack. La pièce essentielle de votre infrastructure informatique

Protégez et alimentez vos équipements IT grâce au rack le plus polyvalent au monde pour les environnements IT exigeants : le rack NetShelter et les bandeaux de prises rackables APC by Schneider Electric.
Choisissez les racks informatiques et les bandeaux de prises APC pour une tranquillité d'esprit totale !

Petya : l'analyse de NetXP

L'ESN NetXP a livré sa propre analyse de l'attaque Petya. Nous reproduisons ici la tribune de Vladimir Kolla, Responsable de la Practice Sécurité au sein de l'entreprise, qui reprend et complète certaines informations déjà publiées par nos soins.

Vecteur d’infection

Contrairement au ver WannaCry qui se contentait d’infecter les cibles accessibles avec le protocole de partage de fichiers de Microsoft SMB, Cette fois-ci, le vecteur n'est pas confirmé mais deux hypothèses sont évoquées :

une campagne de phishing à l’origine de l’infection;
la compromission d'un éditeur tier et la distribution de mises à jours malveillantes.
Ceci demande encore confirmation, mais dans le cas du phishing, si les analyses ne se mélangent pas avec une autre attaque, il débuterait par une classique pièce jointe Office exploitant la vulnérabilité CVE-2017-0199 et dans des fichiers RTF.

RTF (Rich Text Format) est un vieux format de document de Microsoft, toujours supporté par Word mais avec la particularité d’être, un peu comme HTML, un langage de mise en forme, contenant du texte, des images... 

Voici un exemple simpliste de document RTF affichant « NetXP » : 
{\rtf1\ansi\deff0
{\colortbl;\red0\green0\blue0;\red255\green0\blue0;}
NetXP\line }

La vulnérabilité, découverte par FireEye en début d’année et corrigée en avril, permet de contourner le mode protégé d’Office (mode protégé), non pas en exécutant une macro, mais en permettant d’activer un objet OLE, directement à l’ouverture du document, sans la moindre alerte. Il devient alors possible de faire appel à un objet OLE allant télécharger quelque chose sur Internet et c’est ce que fait ce nouveau ver : il va télécharger un fichier HTA pour HTML Application, permettant d’exécuter le vrai code malveillant et ainsi de prendre le contrôle de l’ordinateur. De nombreux outils ont fait leur apparition, permettant de créer son propre document malveillant exploitant cette vulnérabilité.

Ici, sur github. Dans MetaSploit : exploit/windows/fileformat/officewordhta

Pour faire simple : l’utilisateur ouvre un document Word ou Excel envoyé en pièce jointe d’un mail, sans aucune alerte ni blocage, Word ou Excel va télécharger le fichier HTA sur un des sites ci-dessous, puis l’exécuter.

Pivot

Une fois le poste infecté, après certaines étapes non encore identifiées, le ver essaie de se propager sur le réseau (pivot latéral). 

Incorporant des morceaux de l’outil Mimikatz, il est capable de récupérer des éléments d’authentification en mémoire et de les réutiliser avec le protocole de gestion Microsoft WMI pour s’exécuter sur une autre cible 

Parmi les chaînes de caractères présentes dans le ver, on peut trouver des lignes de commande WMIC avec les paramètres permettant l’exécution à distance, authentifiée :
-d C:\Windows\System32\rundll32.exe "C:\Windows\%s",#1
wbem\wmic.exe 
%s /node:"%ws" /user:"%ws" /password:"%ws" process call create "C:\Windows\System32\rundll32.exe \"C:\Windows\%s\" #1 \\%s\admin$ \\%ws\admin$\%ws

Il incorpore également l’outil de Microsoft « Sysinternals PsExec » pour tenter de progresser sur le réseau, tout comme nous l’utilisons parfois lors d’audits. 

Enfin, il semblerait qu’il tente d’exploiter la vulnérabilité sur le protocole de partage de fichiers de Microsoft « SMB », déjà exploitée par le rançongiciel de mars (WannaCry) et donc corrigée par le bulletin MS17-010.

Par contre, toujours pas d’information sur une possible élévation de privilège local ou un contournement de l’UAC ni sur la présence d’une « time bomb ».

Time bomb ?

Bien que non encore confirmé, l’apparition en même temps sur de nombreux ordinateurs d’entreprises différentes laisse penser à la présence d’une « time bomb », c’est-à-dire l’infection de la cible mais la mise en sommeil de la charge active jusqu’à la date fatidique de l’activation. 

Ce point reste donc à confirmer ou infirmer. 

Dans le cas de la compromission d'un éditeur tiers, la simultanéité s'expliquerait d'elle même.

« Kill Switch »

Les exemples du virus analysés cherchent la présence d’une librairie dans le répertoire c:\windows, indiquant que la cible est déjà compromise. A lire ici
Je n’ai pas trouvé de façon sûre ce nom, mais il semblerait que cela soit c:\windows\core.dll ou c:\windows\perfc.dat ou C:\windows\perfc

C’est étrange que le nom soit en dur dans le code et ne soit pas lié à l’environnement infecté.

Il serait envisageable de déployer en urgence (par GPO par exemple) des fichiers vides nommés comme ci-dessus pour parer à toute infection supplémentaire, mais je doute que cela soit efficace très longtemps.

Bitcoins

Le portefeuille Bitcoin des criminels est celui-ci. 

A cet instant, les criminels ont récupéré 3.155 bitcoins, c’est-à-dire 6680 euros

IoC

Voici quelques adresses IP liées à ce ver. Il peut être intéressant de regarder dans ses logs Proxy et Firewall si des accès ont été réalisés : 
185.165.29.78 
84.200.16.242 
111.90.139.247 
95.141.115.108 (Correspondant au domaine french-cooking.com 😉)

Le Github de « Vulners Team » inclut un certain nombre d’autres éléments techniques.

Que faire ?

Depuis hier, nous sommes sur le pont avec un certains nombre de nos clients. 

Parmi les premières actions, tout comme pour WannaCry, il nous semble important de mettre à jour ses systèmes - s’il ne l’étaient pas - mais aussi toutes ses solutions de sécurité liées aux flux des utilisateurs (Antivirus, Proxy, Passerelles mail, IDS/IPS...).

Il faut en parallèle communiquer rapidement auprès des utilisateurs, si ce n’est pas déjà fait, sans non plus créer de panique. Il est peut être intéressant d’interdire l’ouverture de pièce jointe provenant d’internet, tout du moins pendant la journée.

En cas d’infection, il faut naturellement couper les ressources infectées du réseau et faire une veille très attentive sur ce qui sera publié dans les prochaines heures.

A noter que si les analyses de Kaspersky et Talos sont justes, il est impossible de déchiffrer.

Ensuite, il faudra reconstruire ses postes de travail ou serveurs, sans doute revoir le durcissement de ses systèmes, remettre à plat ses procédures de mises à jour pour essayer de déployer les correctifs de sécurité plus rapidement (ce qui n’est pas forcement aisé suivant les contextes), peut être envisager de limiter les flux entre les utilisateurs et revoir (mettre en place?) le cloisonnement de ses serveurs en n'ouvrant que le strict nécessaire.

Réparer son boot ?

En cas d’infection, où le virus aurait eu accès aux privilèges « administrateur » et cassé le disque, il semblerait qu’il soit possible de récupérer le disque et les fichiers, avec les commandes suivantes en démarrant sur une clef USB ou un autre média, avec l’outil BootRec de Microsoft accessible dans le menu de récupération du démarrage :
bootrec /RebuildBcd
bootrec /fixMbr
bootrec /fixboot

Nous n’avons pas testé cette solution, donc nous ne connaissons pas les effets en bord, en particulier en cas de disque précédemment chiffré par Bitlocker ou toute autre solution. 

De plus, étant donné qu’il faut un accès physique au poste (ou serveur), il semble irréaliste d’utiliser cette méthode si de nombreux postes ont été compromis.

Vladimir Kolla, responsable de la Practice Sécurité chez NetXP


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Sécurité


Ordinateur quantique

Ordinateur quantique

L’année 2017 aura vu une accélération impressionnante concernant le futur des ordinateurs quantiques. Les premiers simulateurs ou ordinateurs sont proposés par quelques acteurs qui s’affairent dans un...

Le NAS dans l'entreprise

Le NAS dans l'entreprise

Si les NAS ont commencé par se répandre plutôt dans les foyers pour des besoins personnels, de plus en plus d’entreprises, de toutes tailles, optent pour des serveurs de ce type. Et pour bien des raisons…

Afficher tous les dossiers

AU COEUR DE MELTDOWN & SPECTRE - Tendances'18 : expérimenter l'IA au plus vite ! - Développez vos premiers chatbots - Le NAS revient en force - French Tech Bordeaux - Klaxoon réinvente la réunion - Bootcamp développeur mobile - Rencontre avec Éric Léandri (Qwant)...

 

IA, DE LA THÉORIE À LA PRATIQUE - Stations de travail : cap sur les métiers - RGPD : l'IAM à la rescousse - SOLIDITY, le langage des smart contracts - Comment WINDOWS 10 Fall Creators Update booste la sécurité - Développeurs, avez-vous un agent ? - OpenStack se recentre sur les hébergeurs...

 

Afficher tous les derniers numéros

"L'entreprise numérique", un Livre Blanc IDC/Interxion.

Ce livre blanc présente les résultats d'une enquête menée auprès de plus de 750 entreprises européennes.

Vous y découvrirez l'approche adoptée par les leaders du numérique, combinant l’adoption des services Cloud avec une politique d’hébergement externalisé.  

  


La maintenance prédictive, pilier de la transformation digitale, un Livre Blanc Econocom.

LA MAINTENANCE IT, L’INVISIBLE PIERRE ANGULAIRE DE L’ENTREPRISE DIGITALE

La transformation digitale rebat les cartes de la performance des entreprises. Face à l’évolution simultanée des attentes des clients, des modèles économiques, des conditions de marché et des modes de travail, chaque métier doit revoir sa contribution aux trois axes qui conditionnent dorénavant la réussite: l’excellence opérationnelle, l’expérience utilisateurs et l’innovation métier.


CARTOGRAPHIE DU PAYSAGE DES RANSOMWARES, un Livre Blanc Fortinet.

Comprendre la portée et la sophistication de la menace.

Lorsque les cybermenaces sont multipliées par 35 en un an, chaque entreprise doit en tenir compte. C’est précisément le cas avec les ransomwares. Les hacktivistes ont ciblé des entreprises de pratiquement toutes les tailles et représentant une multitude de secteurs industriels dans le monde entier.


Comment moderniser ses centres de données, un Livre Blanc HPE.

La transformation numérique des entreprises crée de nouvelles contraintes sur les directions informatiques, en particulier pour les environnements de stockage. 

La croissance exponentielle des données, la virtualisation massive, l'évolution des charges de travail et la mise en place permanente de nouvelles applications (devops) obligent l'infrastructure de stockage informatique à évoluer. 


Repensez votre approche en matière de cybersécurité, un Livre Blanc Fortinet.

Pourquoi les leaders de la sécurité sont désormais contraints de faire face aux principales menaces de sécurité. 

Le paysage de cybermenace continue de croître et d’évoluer. Cybersecurity Ventures prévoit que la cybersécurité deviendra un business de mille milliards de dollars entre 2017 et 2021.


Tous les Livres Blancs
Derniers commentaires
La commissaire européenne à la Concurrence, Margrethe VestagerLa Commission européenne a autorisé jeudi le rachat par le fabricant américain de semi-conducteurs Qualcomm, spécialisé dans la téléphonie, de son concurrent néerlandais NXP, une opération valorisant ce dernier à 47 milliards de dollars, a-t-elle annoncé dans un communiqué. [Lire la dépêche...]

Le Un aspirateur qui vogue sur l'eau pour ramasser les détritus qui flottent dans les ports: grâce au "Jellyfishbot" (robot méduse), en rodage jeudi dans le port de Cassis (Bouches-du-Rhône), ses trois inventeurs espèrent conquérir la Côte d'Azur. [Lire la dépêche...]

Pas de monnaie dans les poches pour la messe? L’Église catholique a trouvé la parade en développant la possibilité de verser son obole via un téléphone mobile et en testant un Pas de monnaie dans les poches pour la messe? L’Église catholique a trouvé la parade en développant la possibilité de verser son obole via un téléphone mobile et en testant un "panier connecté" dans une paroisse de Paris. [Lire la dépêche...]

Emmanuel Macron à Rome le 11 janvier 2018La popularité d'Emmanuel Macron continue de grimper (+2) alors que celle d'Edouard Philippe marque un coup d'arrêt en janvier (-4), selon un sondage Ifop-Fiducial diffusé jeudi. [Lire la dépêche...]

Semiconductor giant TSMC says cryptocurrency mining, which requires a lot of computing power, will be key driver for growthLe PDG de TSMC Morris Chang, un des industriels les plus respectés de Taïwan, a déclaré jeudi que les crypto-monnaies seraient un moteur clé de la croissance malgré une chute du bitcoin sous le coup de la menace d'une régulation plus sévère en annonçant une nette hausse du chiffre d'affaires de TSMC. [Lire la dépêche...]

Les propriétaires d'iPhone auront bientôt le choix de ralentir ou non leur appareil selon l'état de la batterie, a annoncé le PDG d'Apple après la controverse née de révélations sur la stratégie du géant américain face au vieillissement de ses produitsLes propriétaires d'iPhone auront bientôt le choix de ralentir ou non leur appareil selon l'état de la batterie, a annoncé le PDG d'Apple après la controverse née de révélations sur la stratégie du géant américain face au vieillissement de ses produits. [Lire la dépêche...]

Un drone transportant un équipement de flottaison sur la plage de Bilgola, au nord de Sydney en Australie le 10 décembre 2017Un drone a pour la première fois jeudi en Australie secouru deux nageurs en difficulté dans l'océan, en leur larguant des équipements de sauvetage. [Lire la dépêche...]

Apple va payer 38 milliards de dollars sur ses bénéfices réalisés à l'étranger en raison de la réforme fiscale américaine Apple va payer 38 milliards de dollars sur ses bénéfices réalisés à l'étranger en raison de la réforme fiscale américaine, et promet d'investir massivement dans les prochaines années aux Etats-Unis, ce que n'a pas manqué de saluer le président Trump. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

FIC

FIC FIC
Le 10ème Forum International de la Cybersécurité occupe les 23 et 24 janvier 2018 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

La 12ème Université des DPO (Data Protection Officers), anciennement Université des CIL, l’événement incontournable des professionnels de la conformité à la loi Informatique et Libertés et au RGPD, a pour cadre le mercredi 24 janvier 2018 la Maison de la Chimie, à Paris. Organisée par l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel).

RENCONTRES AMRAE

Les 26èmes Rencontres de l'AMRAE (Association française des professionnels de la gestion des risques et des assurances) ont lieu du 7 au 9 février 2018 à Marseille (parc Chanot) sur le thème : "l'intelligence des risques pour franchir de nouveaux caps". Organisées par l'AMRAE.

AP CONNECT

La 1ère édition d'AP Connect qui vise à réunir les innovations, technologies et solutions dédiées à la transition numérique des administrations publiques centrales et des collectivités territoriales a lieu les 7 et 8 février 2018 à Paris, Espace Champerret. Organisé par PG Promotion.

GLOBAL LIFI

La 1ère édition du Global Lifi Congress "Visible Light Communications" est organisée à Paris (Palais Brongniart) les 8 et 9 février 2018. Organisé par ERI Lifi Event.
RSS
Voir tout l'AgendaIT