Re: [FRsAG] [Tech] Malware /Cryptolocker

[Romain]

Vu que ça véhicule principalement par email, je met une gateway mail en
entrée avec un produit reconnu et les paramètres poussés au max.
Avec possibilité, en fonction du choix pour chaque adresse, d'autoriser ou
non les fichiers zip/autre.

Si tu veux tester, je suis dispo.

Le 26 mai 2016 à 15:06, CORTES Bruno  a écrit :

> Plop la liste,
>
>
>
> C’est le 1er thread que j’ouvre, j’espère ne pas trop
> faire dans le nimp…
>
>
>
> Je (nous, j’imagine également) suis particulièrement concerné par les
> malwares/virus chiffreurs qui sévissent sur les postes de travail.
>
> Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien
> que les dégâts soient restés circonscrits à un seul poste à chaque fois (et
> une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien
> partager les différentes solutions/techniques/restrictions des users/WTF
> que vous avez mis en œuvre et pour quel résultat…
>
>
>
> Je ne suis pas intéressé par tout le discours marketing trouvable sur
> toute les pages d’accueil des différents acteurs sécurité du marché, mais
> les expériences tant positives que négatives en terme de déploiement de
> solution / mitigation des menaces.
>
>
>
> Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles
> réponses/remarques.
>
>
>
> Bruno C. Gestionnaire de parc
>
>
>
> *ü*
>
> *Pour la planète : échangez par courriel et n’imprimez que si nécessaire.*
>
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [Tech] Malware /Cryptolocker

[VAILLEAU Olivier]

Bonjour Bruno,

Sur l’ensemble de nos établissements (plusieurs hôpitaux représentants 3000 
agents et 2500 postes de travail), nous subissons environ une attaque de crypto 
par semaine.
A chaque fois, les partages sur le serveur de fichier se font pourrir et nous 
oscillons entre 5 000 à 200 000 fichiers cryptés en quelques minutes.
La seule parade pour nous est la sauvegarde.
Nous arrivons en général à trouver les fichiers qui ont été cryptés :

-  Soit ils ont une date de modification qui colle à la période 
d’attaque (par exemple, tous les fichiers modifiés de 8h43 à 8h50)

-  Soit ils ont une extension spécifique,

-  Soit le nom a été modifié.
Pour tous ces fichiers, je supprime sans vergogne, et je lance la restauration 
en spécifiant « ne pas écraser ». Du coup, je retrouve tous mes fichiers avant 
cryptage.

Le mail reste le vecteur principal de ces infections. Dans de nombreux cas 
l’antivirus sur les mails ne sert pas à grand-chose car la charge virale n’est 
pas dans le mail. C’est une pièce jointe qui va lancer un bout de code VBA (ou 
autre) et aller récupérer le contenu viral sur un pastebin ou autre.

Pour s’en protéger :
1/ Sensibliser les utilsiateurs (mais c’est rarement efficace)
2/ restreinte le plus possible les droits d’accès sur les partages
3/ monter le moins de lecteur réseau possible (et tient donc, pourquoi pas 
passer en chemin unc ? Depuis les « favoris » de Seven, c’est un jeu d’enfant 
d’aller sur \\server1\share)

Pour que l’infection soit moins douloureuse, il faut vraiment avoir des backup 
et un outil qui permet de restaurer quelques milliers de fichier de façon 
sélective..

ESET aurait réussi à obtenir un Master KEY sur un des crypto, permettant de 
récupérer les fichiers (comme quoi la suppression n’est pas forcément une bonne 
pratique)

Cordialement,

Olivier VAILLEAU


De : FRsAG [mailto:frsag-boun...@frsag.org] De la part de CORTES Bruno
Envoyé : jeudi 26 mai 2016 15:07
À : French SysAdmin Group
Objet : [FRsAG] [Tech] Malware /Cryptolocker

Plop la liste,

C’est le 1er thread que j’ouvre, j’espère ne pas trop faire 
dans le nimp…

Je (nous, j’imagine également) suis particulièrement concerné par les 
malwares/virus chiffreurs qui sévissent sur les postes de travail.
Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que 
les dégâts soient restés circonscrits à un seul poste à chaque fois (et une 
petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager 
les différentes solutions/techniques/restrictions des users/WTF que vous avez 
mis en œuvre et pour quel résultat…

Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les 
pages d’accueil des différents acteurs sécurité du marché, mais les expériences 
tant positives que négatives en terme de déploiement de solution / mitigation 
des menaces.

Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles 
réponses/remarques.

Bruno C. Gestionnaire de parc

ü

Pour la planète : échangez par courriel et n’imprimez que si nécessaire.


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [Tech] Malware /Cryptolocker

[Sébastien Le Ray]

Bonjour,

Ici on a ratissé large en interdisant les docm (éventuellement dans des 
ZIP) en pièce jointe avec un mail explicatifs aux gens expliquant que si 
leur correspondant rencontrait un soucis avec une PJ légitime on pouvait 
passer par d'autres systèmes (tickets de dl). Ça fonctionne car on 
n'utilise pas de docm en interne…


Pour le coup des UNC il me semble que j'avais lu (je remets plus la main 
dessus) des papiers comme quoi il n'y avait plus besoin que les lecteurs 
soient mappés pour être concernés (un mélange d'historique et de scan 
réseau je suppose).


À un moment on avait aussi un pastebin.com. IN A 127.0.0.1 sur les NS 
internes puisque le virus récupérait sa charge sur pastebin…


Mais bon dans tous les cas la difficulté est l'équilibre 
sécu/désagréments au quotidien.


Cordialement,


Le 26/05/2016 à 15:47, VAILLEAU Olivier a écrit :


Bonjour Bruno,

Sur l’ensemble de nos établissements (plusieurs hôpitaux représentants 
3000 agents et 2500 postes de travail), nous subissons environ une 
attaque de crypto par semaine.


A chaque fois, les partages sur le serveur de fichier se font pourrir 
et nous oscillons entre 5 000 à 200 000 fichiers cryptés en quelques 
minutes.


La seule parade pour nous est la sauvegarde.

Nous arrivons en général à trouver les fichiers qui ont été cryptés :

-Soit ils ont une date de modification qui colle à la période 
d’attaque (par exemple, tous les fichiers modifiés de 8h43 à 8h50)


-Soit ils ont une extension spécifique,

-Soit le nom a été modifié.

Pour tous ces fichiers, je supprime sans vergogne, et je lance la 
restauration en spécifiant « ne pas écraser ». Du coup, je retrouve 
tous mes fichiers avant cryptage.


Le mail reste le vecteur principal de ces infections. Dans de nombreux 
cas l’antivirus sur les mails ne sert pas à grand-chose car la charge 
virale n’est pas dans le mail. C’est une pièce jointe qui va lancer un 
bout de code VBA (ou autre) et aller récupérer le contenu viral sur un 
pastebin ou autre.


Pour s’en protéger :

1/ Sensibliser les utilsiateurs (mais c’est rarement efficace)

2/ restreinte le plus possible les droits d’accès sur les partages

3/ monter le moins de lecteur réseau possible (et tient donc, pourquoi 
pas passer en chemin unc ? Depuis les « favoris » de Seven, c’est un 
jeu d’enfant d’aller sur \\server1\share )


Pour que l’infection soit moins douloureuse, il faut vraiment avoir 
des backup et un outil qui permet de restaurer quelques milliers de 
fichier de façon sélective..


ESET aurait réussi à obtenir un Master KEY sur un des crypto, 
permettant de récupérer les fichiers (comme quoi la suppression n’est 
pas forcément une bonne pratique)


Cordialement,

*/Olivier VAILLEAU/*

*De :*FRsAG [mailto:frsag-boun...@frsag.org] *De la part de* CORTES Bruno
*Envoyé :* jeudi 26 mai 2016 15:07
*À :* French SysAdmin Group
*Objet :* [FRsAG] [Tech] Malware /Cryptolocker

Plop la liste,

C’est le 1^er thread que j’ouvre, j’espère ne pas trop faire dans le nimp…

Je (nous, j’imagine également) suis particulièrement concerné par les 
malwares/virus chiffreurs qui sévissent sur les postes de travail.


Nous avons « plusieurs » dispositifs pour contrer ce problème, mais 
bien que les dégâts soient restés circonscrits à un seul poste à 
chaque fois (et une petite partie d’un serveur de fichier, d’accord…) 
, j’aimerais bien partager les différentes 
solutions/techniques/restrictions des users/WTF que vous avez mis en 
œuvre et pour quel résultat…


Je ne suis pas intéressé par tout le discours marketing trouvable sur 
toute les pages d’accueil des différents acteurs sécurité du marché, 
mais les expériences tant positives que négatives en terme de 
déploiement de solution / mitigation des menaces.


Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles 
réponses/remarques.


Bruno C. Gestionnaire de parc

*ü*



/Pour la planète : échangez par courriel et n’imprimez que si nécessaire./



___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [Tech] Malware /Cryptolocker

[CORTES Bruno]

(Re) Plop…,

Merci pour toutes ces premières réponses, il est vrai que le(s) 
blocage(s) proposés limitent grandement les risques d’infection, mais mon 
(notre) problème principal réside dans les « besoins » des users de ces 
fonctionnalités potentiellement dangereuses.

Désactiver les macros bureautiques, bloquer certaines extensions dans les PJ, 
etc., je peux même pas l’envisager… Les besoins (j’y voit surtout des 
habitudes) font que la moindre restriction est vécue (presque) comme une 
castration quand je vois les mails de mes users… Peut-être que je devrais 
demander à changer une partie du personnel pas assez « security friendly »… A 
voir avec RH…

A part ça nous avons déjà :
Une protection de la messagerie par un presta externe (Vade 
Retro pour pas le nommer) qui nous certifie que son produit est le top du top 
et que si nous avons des problèmes c’est pas par les mails que ça arrive.
Une protection, en plus du Firewall Cisco, sur le trafic 
Internet (Ironport Cisco) qui devrait voir/bloquer d’éventuels trafic de datas 
vers l’extérieur.
Une solution Trend sur tous les postes client « up to date »…

Et avec ça on est toujours en pleine vague de : j’ai une alerte mais les 
fichiers sont déjà en partie chiffrés, et je suis bon pour un package remaster 
poste / verif serveur file et une plombe de palabre pour recommencer 
l’évangélisation…

Ah que notre vie est dure…

Bruno


[cid:image001.jpg@01D1B766.6826B750]

ü

Pour la planète : échangez par courriel et n’imprimez que si nécessaire.


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [Tech] Malware /Cryptolocker

[Pierre Is4u]

Bonjour, 

En soit le chiffrage de ces fichers n'est pas très compliqué et on peu parer à 
quelques attaques facilement en déployant ce genre de patch :


https://github.com/cryptobioz/LockyVaccine
 
(de mémoire made in France) 

Plus d informations ici 

https://www.lexsi.com/securityhub/comment-creer-un-vaccin-contre-le-ransomware-locky/

Nous l avons déployer chez certains de nos clients et nous n'avons jamais eu 
problème. 

Il y a d autre patch en fonction des versions du virus, mais le principe reste 
le même. 


Pierre 


On May 26, 2016 3:58:08 PM GMT+02:00, CORTES Bruno  
wrote:
>(Re) Plop…,
>
>Merci pour toutes ces premières réponses, il est vrai que le(s)
>blocage(s) proposés limitent grandement les risques d’infection, mais
>mon (notre) problème principal réside dans les « besoins » des users de
>ces fonctionnalités potentiellement dangereuses.
>
>Désactiver les macros bureautiques, bloquer certaines extensions dans
>les PJ, etc., je peux même pas l’envisager… Les besoins (j’y voit
>surtout des habitudes) font que la moindre restriction est vécue
>(presque) comme une castration quand je vois les mails de mes users…
>Peut-être que je devrais demander à changer une partie du personnel pas
>assez « security friendly »… A voir avec RH…
>
>A part ça nous avons déjà :
>Une protection de la messagerie par un presta externe (Vade Retro pour
>pas le nommer) qui nous certifie que son produit est le top du top et
>que si nous avons des problèmes c’est pas par les mails que ça arrive.
>Une protection, en plus du Firewall Cisco, sur le trafic Internet
>(Ironport Cisco) qui devrait voir/bloquer d’éventuels trafic de datas
>vers l’extérieur.
>  Une solution Trend sur tous les postes client « up to date »…
>
>Et avec ça on est toujours en pleine vague de : j’ai une alerte mais
>les fichiers sont déjà en partie chiffrés, et je suis bon pour un
>package remaster poste / verif serveur file et une plombe de palabre
>pour recommencer l’évangélisation…
>
>Ah que notre vie est dure…
>
>Bruno
>
>
>[cid:image001.jpg@01D1B766.6826B750]
>
>ü
>
>Pour la planète : échangez par courriel et n’imprimez que si
>nécessaire.
>
>
>
>
>
>
>___
>Liste de diffusion du FRsAG
>http://www.frsag.org/

-- 
Pierre Is4u___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [Tech] Malware /Cryptolocker

[Pierre Colombier]

Je pense que la sécurité n'est pas un produit mais un état d'esprit.
Alors oui, les produits anti-virus, anti-malware, ça aide mais ça ne 
peux pas suffire.

D'ailleur, ça n'a jamais suffit et je ne vois pas pourquoi ça changerait.

Je pense que sans préventif (à savoir la formation des utilisateur) il 
en passera toujours.


Mon expérience est que

Pour ce qui concerne le poste de travail, je considère que c'est du 
jetable.
L'usager qui n'a pas sauvegadé son taf sur le serveur (ou un autre 
média), c'est son problème.

C'est du même niveau que d'avoir la seule copie de sa thèse sur une clé usb.

Coté serveur, si les sauvagardes sont bien faites et les droits d'accès 
pas trop délirants, ça doit aller.
J'entends par là que ça fera chier mais qu'on ne dois pas avoir de gros 
dégats.
A noter quand même qu'il faut être en mesure de remonter rapidement des 
parties de la sauvegarde.

Les filesystem à versionning sont assez utiles de ce point de vue.


Maintenant des pistes de reflexion. (j'ai pas de produit ou script qui 
fait ça)
Quelque chose qui serait de nature à détecter les problème et à limiter 
les dégats et serait de blacklister un usager ou un poste qui modifie 
trop de choses sur le serveur en trop peu de temps. Tu as lu et réécrit 
plus de X fichiers en moins de Y minutes ? => tu es bloqué et l'admin 
averti avec la liste des fichiers altérés.
On peut aussi faire plus fin. t'as lu un fichier dont le types est connu 
(jpg, docx, pdf) et réécrit dans le même fichier un truc dont le type 
n'est plus identifiable. => +1 dans le compteur activité suspecte.







On 26/05/2016 15:28, Romain wrote:
Vu que ça véhicule principalement par email, je met une gateway mail 
en entrée avec un produit reconnu et les paramètres poussés au max.
Avec possibilité, en fonction du choix pour chaque adresse, 
d'autoriser ou non les fichiers zip/autre.


Si tu veux tester, je suis dispo.

Le 26 mai 2016 à 15:06, CORTES Bruno > a écrit :


Plop la liste,

C’est le 1^er thread que j’ouvre, j’espère ne pas trop faire dans
le nimp…

Je (nous, j’imagine également) suis particulièrement concerné par
les malwares/virus chiffreurs qui sévissent sur les postes de travail.

Nous avons « plusieurs » dispositifs pour contrer ce problème,
mais bien que les dégâts soient restés circonscrits à un seul
poste à chaque fois (et une petite partie d’un serveur de fichier,
d’accord…) , j’aimerais bien partager les différentes
solutions/techniques/restrictions des users/WTF que vous avez mis
en œuvre et pour quel résultat…

Je ne suis pas intéressé par tout le discours marketing trouvable
sur toute les pages d’accueil des différents acteurs sécurité du
marché, mais les expériences tant positives que négatives en terme
de déploiement de solution / mitigation des menaces.

Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles
réponses/remarques.

Bruno C. Gestionnaire de parc

*ü***



/Pour la planète : échangez par courriel et n’imprimez que si
nécessaire.///


___
Liste de diffusion du FRsAG
http://www.frsag.org/




___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [Tech] Malware /Cryptolocker

[Dominique Rousseau]

Le Thu, May 26, 2016 at 03:06:47PM +0200, CORTES Bruno 
[bcor...@montbeliard.com] a écrit:
[...]
> 
> Je (nous, j???imagine également) suis particulièrement concerné par
> les malwares/virus chiffreurs qui sévissent sur les postes de travail.
> Nous avons « plusieurs » dispositifs pour contrer ce problème, 

Lesquels ? ;-)  ( donnant/donnant )


Sinon, en plus de ce qui a été dit, je pense que la mise en place de
restrictions des postes en sortie ( = parefeu nazi ) + accès web via un
proxy ( avec filtrage du contenu : AV, qui a le droit de d/l des exe,
bloquage d'urls suspectes, etc. ) devient de plus en plus nécessaire (et
contraignant) sur des parcs de postes "utilisateur lambda".



-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
21 rue Frédéric Petit - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [Tech] Malware /Cryptolocker

[LE PROVOST Guillaume]

C’est d’actualité,

Ci-dessous un échange envoyé par notre Sys admin ce jour :

« Ce filtre est une tentative de protection contre les virus cryptolocker.
Il s'appuie sur le gestionnaire de fichiers (FSRM) de Windows 2008 et consiste 
à empêcher l'écriture ou la modification de fichiers ayant une extension ou un 
nom de fichier utilisé par les différentes version de cryptolocker comme Locky 
(cf liste ci-dessous).

Lors de la tentative d'écriture d'un fichier interdit sur le lecteur réseau, un 
message d'erreur signalera à l'utilisateur une erreur d'écriture. Un message 
sera également adressé à l'unité "admin serveurs". »

A+.

Guillaume.

De : FRsAG [mailto:frsag-boun...@frsag.org] De la part de CORTES Bruno
Envoyé : jeudi 26 mai 2016 15:07
À : French SysAdmin Group 
Objet : [FRsAG] [Tech] Malware /Cryptolocker

Plop la liste,

C’est le 1er thread que j’ouvre, j’espère ne pas trop faire 
dans le nimp…

Je (nous, j’imagine également) suis particulièrement concerné par les 
malwares/virus chiffreurs qui sévissent sur les postes de travail.
Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que 
les dégâts soient restés circonscrits à un seul poste à chaque fois (et une 
petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager 
les différentes solutions/techniques/restrictions des users/WTF que vous avez 
mis en œuvre et pour quel résultat…

Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les 
pages d’accueil des différents acteurs sécurité du marché, mais les expériences 
tant positives que négatives en terme de déploiement de solution / mitigation 
des menaces.

Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles 
réponses/remarques.

Bruno C. Gestionnaire de parc

ü

Pour la planète : échangez par courriel et n’imprimez que si nécessaire.


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [Tech] Malware /Cryptolocker

[figuiere . clement]

"""
Je pense que la sécurité n'est pas un produit mais un état d'esprit.
Alors oui, les produits anti-virus, anti-malware, ça aide mais ça ne peux 
pas suffire.
D'ailleur, ça n'a jamais suffit et je ne vois pas pourquoi ça changerait.

Je pense que sans préventif (à savoir la formation des utilisateur) il en 
passera toujours.
"""

Je suis du même avis que Pierre, il faudrait mettre un point d'honneur dans les 
entreprises à la formation des utilisateurs.
Former les utilisateurs déjà en place et prévoir de former les nouveaux 
arrivants.

Le combo: traitement des mails en entrée + sécu des postes + utilisateurs 
formés + sauvegardes, devrait grandement réduire les risques, bien que 100% 
n'existe pas. 

Belle journée,

Clem.

.--.
   |o_o |
   |:_/ |
  //   \ \
 (| | )
/'\_   _/`\
\___)=(___/

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [Tech] Malware /Cryptolocker

[b...@lesfourmisduweb.org]

De mon coté j'ai mis une politique de restriction logiciel en place très 
stricte. (je suis dans un établissement scolaire)
Également mis en place: le blocage complet des macro sous Word et Libre 
Office


Ça m'a demandée pas mal de préparation histoire de pas paralyser le réseau.
Bien sur aucun de mes utilisateurs n'est administrateur

Je comprend bien-sur que ce n'est pas applicable dans tous les réseaux 
mais chez moi ça a été plutôt efficace pour le moment.


Je met également a jour mes postes très régulièrement avec wapt pour 
éviter les Failles de sécurité dans les navigateurs.


Simon




Le 26/05/2016 16:58, Dominique Rousseau a écrit :

Le Thu, May 26, 2016 at 03:06:47PM +0200, CORTES Bruno 
[bcor...@montbeliard.com] a écrit:
[...]

Je (nous, j???imagine également) suis particulièrement concerné par
les malwares/virus chiffreurs qui sévissent sur les postes de travail.
Nous avons « plusieurs » dispositifs pour contrer ce problème,

Lesquels ? ;-)  ( donnant/donnant )


Sinon, en plus de ce qui a été dit, je pense que la mise en place de
restrictions des postes en sortie ( = parefeu nazi ) + accès web via un
proxy ( avec filtrage du contenu : AV, qui a le droit de d/l des exe,
bloquage d'urls suspectes, etc. ) devient de plus en plus nécessaire (et
contraignant) sur des parcs de postes "utilisateur lambda".





___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [Tech] Malware /Cryptolocker

[Julien Escario]

Bonjour,

Le 26/05/2016 15:06, CORTES Bruno a écrit :

Plop la liste,

 C’est le 1^er thread que j’ouvre, j’espère ne pas trop
faire dans le nimp…

Je (nous, j’imagine également) suis particulièrement concerné par les
malwares/virus chiffreurs qui sévissent sur les postes de travail.

Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien
que les dégâts soient restés circonscrits à un seul poste à chaque fois
(et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais
bien partager les différentes solutions/techniques/restrictions des
users/WTF que vous avez mis en œuvre et pour quel résultat…

Je ne suis pas intéressé par tout le discours marketing trouvable sur
toute les pages d’accueil des différents acteurs sécurité du marché,
mais les expériences tant positives que négatives en terme de
déploiement de solution / mitigation des menaces.


Déjà pas mal évoqué ici.

Notre retour : sur les quelques machines 'end-user' qui restent chez nos 
clients, nous avons déployé Webroot.


Couplé à une bonne évangélisation (allant de "n'ouvrez pas les pièces 
jointes des mails douteux" à des explications plus poussées sur le 
fonctionnement des bestiaux) + un filtrage sur nos MX qui interdit un 
paquet d'extensions (.js en premier) que ce soit en direct, dans un zip, 
un tar.gz, un 7zip, rar, etc ...


Plus de soucis depuis la vague de février/début mars.

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [Tech] Malware /Cryptolocker

[Séb]

Le 26/05/2016 à 17:08, LE PROVOST Guillaume a écrit :

C’est d’actualité,



Ci-dessous un échange envoyé par notre Sys admin ce jour :



« Ce filtre est une tentative de protection contre les virus cryptolocker.

Il s'appuie sur le gestionnaire de fichiers (FSRM) de Windows 2008 et
consiste à empêcher l'écriture ou la modification de fichiers ayant une
extension ou un nom de fichier utilisé par les différentes version de
cryptolocker comme Locky (cf liste ci-dessous).



Lors de la tentative d'écriture d'un fichier interdit sur le lecteur
réseau, un message d'erreur signalera à l'utilisateur une erreur
d'écriture. Un message sera également adressé à l'unité "admin serveurs". »


Bonjour,

Pour ceux qui dispose de baie(s) NetApp, il est possible d'utiliser 
sensiblement le même système via l'utilisation de "fpolicy".


Cela ne gère pas l'alerte (à moins de rajouter un point de supervision)

Bonne fin de journée.

--
Séb
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [Tech] Malware /Cryptolocker

[CROCQUEVIEILLE Bruno]

Bonjour,

Comme vous le voyez dans ma signature je bosse pour une banque et inutile de 
dire que nous prenons ce problème au sérieux… sans avoir de solution miracle 
pour le moment.

Nous avons plusieurs POCS en cours et nous allons donc bientôt nous décider 
pour une ou plusieurs solutions.

Comme nous ne pouvons pas bloquer les macros et que les antivirus laissent 
passer tous les virus de ce genre la solution est compliquée sans passer par un 
outil dédié.
Nous avons tout de même la chance que notre navigation internet passe par un 
proxy avec authentification et cela empêche certains virus de télécharger leur 
payload.

Solutions que nous avons mis réellement en place actuellement :

-  désactivation par défaut des macros (mais activables par 
l’utilisateur)

-  blocage de tous les sites catégorisés comme suspects et non 
catégorisés par les firewalls

-  formations obligatoire des utilisateurs

-  scripts de détection sur les serveurs de fichiers de comportement 
anormaux et signes de cryptovirus (modification de plusieurs dizaines de 
fichiers, détection des fichiers « type » des cryptovirus comme les fichiers « 
locky » ou « mp3 »

-  et bien entendu des sauvegardes quotidiennes et pas d’utilisation de 
Shadow Copy puisque les cryptovirus savent les supprimer…

Et comme je l’ai dit un choix de logiciel anti APT en cours.

De ceux que j’ai vu en POC Fortinet et son appliance et la solution TrendMicro 
(présentée par la branche sécurité de Orange) m’ont bien convaincu.
Ils proposent les même fonctionnalités avec notamment le sandboxing avec 
accélération temporelle pour « détoner » les charges virales et le blocage 
systématique des pièces jointes similaires à une précédente détection. Ils 
agissent par le blocage des pièces jointes détectées infectées et grâce à 
l’analyse de la « détonation » en bloquant les adresses des serveurs de command 
and control et les sites de téléchargement de la payload.

Ces outils ne sont pas donnés par contre… donc pour une grosse société c’est 
plus simple.



Cordialement,

[cid:image001.gif@01D1B77E.6E1E3210]



Bruno Crocquevieille
Correspondant Sécurité des SI

RESG/GTS/RET/FSO/FRF



Immeuble Boréa
Val de Fontenay


Tél.

+33 (0)1 58 98 94 98

Mob.

+33 (0)7 84 44 09 22

E-mail

bruno.crocqueviei...@socgen.com

http://www.societegenerale.com




[ribbon-black]







De : FRsAG [mailto:frsag-boun...@frsag.org] De la part de CORTES Bruno
Envoyé : jeudi 26 mai 2016 15:07
À : French SysAdmin Group
Objet : [FRsAG] [Tech] Malware /Cryptolocker

Plop la liste,

C’est le 1er thread que j’ouvre, j’espère ne pas trop faire 
dans le nimp…

Je (nous, j’imagine également) suis particulièrement concerné par les 
malwares/virus chiffreurs qui sévissent sur les postes de travail.
Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que 
les dégâts soient restés circonscrits à un seul poste à chaque fois (et une 
petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager 
les différentes solutions/techniques/restrictions des users/WTF que vous avez 
mis en œuvre et pour quel résultat…

Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les 
pages d’accueil des différents acteurs sécurité du marché, mais les expériences 
tant positives que négatives en terme de déploiement de solution / mitigation 
des menaces.

Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles 
réponses/remarques.

Bruno C. Gestionnaire de parc

ü

Pour la planète : échangez par courriel et n’imprimez que si nécessaire.


=

Ce message et toutes les pieces jointes (ci-apres le "message")
sont confidentiels et susceptibles de contenir des informations
couvertes par le secret professionnel. Ce message est etabli
a l'intention exclusive de ses destinataires. Toute utilisation
ou diffusion non autorisee interdite.
Tout message electronique est susceptible d'alteration. La SOCIETE GENERALE
et ses filiales declinent toute responsabilite au titre de ce message
s'il a ete altere, deforme falsifie.

=

This message and any attachments (the "message") are confidential,
intended solely for the addresses, and may contain legally privileged
information. Any unauthorized use or dissemination is prohibited.
E-mails are susceptible to alteration. Neither SOCIETE GENERALE nor any
of its subsidiaries or affiliates shall be liable for the message
if altered, changed or falsified.

=
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [Tech] Malware /Cryptolocker

[Romain]

Je veux bien savoir quels AV vous avez testé et qui laissent tout passer
car moi ça chope 95% des crypto.

Le jeudi 26 mai 2016, CROCQUEVIEILLE Bruno 
a écrit :

> Bonjour,
>
>
>
> Comme vous le voyez dans ma signature je bosse pour une banque et inutile
> de dire que nous prenons ce problème au sérieux… sans avoir de solution
> miracle pour le moment.
>
>
>
> Nous avons plusieurs POCS en cours et nous allons donc bientôt nous
> décider pour une ou plusieurs solutions.
>
>
>
> Comme nous ne pouvons pas bloquer les macros et que les antivirus laissent
> passer tous les virus de ce genre la solution est compliquée sans passer
> par un outil dédié.
>
> Nous avons tout de même la chance que notre navigation internet passe par
> un proxy avec authentification et cela empêche certains virus de
> télécharger leur payload.
>
>
>
> Solutions que nous avons mis réellement en place actuellement :
>
> -  désactivation par défaut des macros (mais activables par
> l’utilisateur)
>
> -  blocage de tous les sites catégorisés comme suspects et non
> catégorisés par les firewalls
>
> -  formations obligatoire des utilisateurs
>
> -  scripts de détection sur les serveurs de fichiers de
> comportement anormaux et signes de cryptovirus (modification de plusieurs
> dizaines de fichiers, détection des fichiers « type » des cryptovirus comme
> les fichiers « locky » ou « mp3 »
>
> -  et bien entendu des sauvegardes quotidiennes et pas
> d’utilisation de Shadow Copy puisque les cryptovirus savent les supprimer…
>
>
>
> Et comme je l’ai dit un choix de logiciel anti APT en cours.
>
>
>
> De ceux que j’ai vu en POC Fortinet et son appliance et la solution
> TrendMicro (présentée par la branche sécurité de Orange) m’ont bien
> convaincu.
>
> Ils proposent les même fonctionnalités avec notamment le sandboxing avec
> accélération temporelle pour « détoner » les charges virales et le blocage
> systématique des pièces jointes similaires à une précédente détection. Ils
> agissent par le blocage des pièces jointes détectées infectées et grâce à
> l’analyse de la « détonation » en bloquant les adresses des serveurs de
> command and control et les sites de téléchargement de la payload.
>
>
>
> Ces outils ne sont pas donnés par contre… donc pour une grosse société
> c’est plus simple.
>
>
>
>
>
>
>
> Cordialement,
>
>
>
> *Bruno Crocquevieille*
> Correspondant Sécurité des SI
>
> RESG/GTS/RET/FSO/FRF
>
>
> Immeuble Boréa
> Val de Fontenay
>
> Tél.
>
> +33 (0)1 58 98 94 98
>
> Mob.
>
> +33 (0)7 84 44 09 22
>
> E-mail
>
> bruno.crocqueviei...@socgen.com
> 
>
> http://www.societegenerale.com
>
>
>
> [image: ribbon-black]
>
>
>
>
>
> *De :* FRsAG [mailto:frsag-boun...@frsag.org
> ] *De la part de*
> CORTES Bruno
> *Envoyé :* jeudi 26 mai 2016 15:07
> *À :* French SysAdmin Group
> *Objet :* [FRsAG] [Tech] Malware /Cryptolocker
>
>
>
> Plop la liste,
>
>
>
> C’est le 1er thread que j’ouvre, j’espère ne pas trop
> faire dans le nimp…
>
>
>
> Je (nous, j’imagine également) suis particulièrement concerné par les
> malwares/virus chiffreurs qui sévissent sur les postes de travail.
>
> Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien
> que les dégâts soient restés circonscrits à un seul poste à chaque fois (et
> une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien
> partager les différentes solutions/techniques/restrictions des users/WTF
> que vous avez mis en œuvre et pour quel résultat…
>
>
>
> Je ne suis pas intéressé par tout le discours marketing trouvable sur
> toute les pages d’accueil des différents acteurs sécurité du marché, mais
> les expériences tant positives que négatives en terme de déploiement de
> solution / mitigation des menaces.
>
>
>
> Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles
> réponses/remarques.
>
>
>
> Bruno C. Gestionnaire de parc
>
>
>
> *ü*
>
> *Pour la planète : échangez par courriel et n’imprimez que si nécessaire.*
>
>
>
> =
>
> Ce message et toutes les pieces jointes (ci-apres le "message")
> sont confidentiels et susceptibles de contenir des informations
> couvertes par le secret professionnel. Ce message est etabli
> a l'intention exclusive de ses destinataires. Toute utilisation
> ou diffusion non autorisee interdite.
> Tout message electronique est susceptible d'alteration. La SOCIETE GENERALE
> et ses filiales declinent toute responsabilite au titre de ce message
> s'il a ete altere, deforme falsifie.
>
> =
>
> This message and any attachments (the "message") are confidential,
> intended solely for the addresses, and may contain legally privileged
> information. Any unauthorized use or dissemination is prohibited.
> E-mails are susceptible to alteration. Neither SOCIETE GENERALE nor any
> of its subsidiaries or affiliates shall be liable for the message
> if altered, changed or falsified.
>

Re: [FRsAG] [Tech] Malware /Cryptolocker

[ay pierre]

pourrait on avoir un vrai retour pour la sandbox fortinet?

nous avons que des problème actuellement avec et je voulais savoir si
c’était le cas pour les autre?

exemple de problème:

les mails mettent plus 20 min a arriver sur les boites, des virus non
détecté par la SDB fortinet  alors que des AV type avg AVAST les bloques.

des pdf tres simple qui sont rejeter ou passe en unscanable tout ça parce
qu'il ne parviens pas a les détecter, je suis en possession actuellement
d'une variante d'un locky que la sandbox forti ou mème le fortiguard ne
parvienne pas a bloquer 

au prix de appliance fortinet si d'autre personne on un retour su
expérience je suis preneur

Le 26 mai 2016 à 20:31, Romain  a écrit :

> Je veux bien savoir quels AV vous avez testé et qui laissent tout passer
> car moi ça chope 95% des crypto.
>
> Le jeudi 26 mai 2016, CROCQUEVIEILLE Bruno <
> bruno.crocqueviei...@socgen.com> a écrit :
>
>> Bonjour,
>>
>>
>>
>> Comme vous le voyez dans ma signature je bosse pour une banque et inutile
>> de dire que nous prenons ce problème au sérieux… sans avoir de solution
>> miracle pour le moment.
>>
>>
>>
>> Nous avons plusieurs POCS en cours et nous allons donc bientôt nous
>> décider pour une ou plusieurs solutions.
>>
>>
>>
>> Comme nous ne pouvons pas bloquer les macros et que les antivirus
>> laissent passer tous les virus de ce genre la solution est compliquée sans
>> passer par un outil dédié.
>>
>> Nous avons tout de même la chance que notre navigation internet passe par
>> un proxy avec authentification et cela empêche certains virus de
>> télécharger leur payload.
>>
>>
>>
>> Solutions que nous avons mis réellement en place actuellement :
>>
>> -  désactivation par défaut des macros (mais activables par
>> l’utilisateur)
>>
>> -  blocage de tous les sites catégorisés comme suspects et non
>> catégorisés par les firewalls
>>
>> -  formations obligatoire des utilisateurs
>>
>> -  scripts de détection sur les serveurs de fichiers de
>> comportement anormaux et signes de cryptovirus (modification de plusieurs
>> dizaines de fichiers, détection des fichiers « type » des cryptovirus comme
>> les fichiers « locky » ou « mp3 »
>>
>> -  et bien entendu des sauvegardes quotidiennes et pas
>> d’utilisation de Shadow Copy puisque les cryptovirus savent les supprimer…
>>
>>
>>
>> Et comme je l’ai dit un choix de logiciel anti APT en cours.
>>
>>
>>
>> De ceux que j’ai vu en POC Fortinet et son appliance et la solution
>> TrendMicro (présentée par la branche sécurité de Orange) m’ont bien
>> convaincu.
>>
>> Ils proposent les même fonctionnalités avec notamment le sandboxing avec
>> accélération temporelle pour « détoner » les charges virales et le blocage
>> systématique des pièces jointes similaires à une précédente détection. Ils
>> agissent par le blocage des pièces jointes détectées infectées et grâce à
>> l’analyse de la « détonation » en bloquant les adresses des serveurs de
>> command and control et les sites de téléchargement de la payload.
>>
>>
>>
>> Ces outils ne sont pas donnés par contre… donc pour une grosse société
>> c’est plus simple.
>>
>>
>>
>>
>>
>>
>>
>> Cordialement,
>>
>>
>>
>> *Bruno Crocquevieille*
>> Correspondant Sécurité des SI
>>
>> RESG/GTS/RET/FSO/FRF
>>
>>
>> Immeuble Boréa
>> Val de Fontenay
>>
>> Tél.
>>
>> +33 (0)1 58 98 94 98
>>
>> Mob.
>>
>> +33 (0)7 84 44 09 22
>>
>> E-mail
>>
>> bruno.crocqueviei...@socgen.com
>>
>> http://www.societegenerale.com
>>
>>
>>
>> [image: ribbon-black]
>>
>>
>>
>>
>>
>> *De :* FRsAG [mailto:frsag-boun...@frsag.org] *De la part de* CORTES
>> Bruno
>> *Envoyé :* jeudi 26 mai 2016 15:07
>> *À :* French SysAdmin Group
>> *Objet :* [FRsAG] [Tech] Malware /Cryptolocker
>>
>>
>>
>> Plop la liste,
>>
>>
>>
>> C’est le 1er thread que j’ouvre, j’espère ne pas trop
>> faire dans le nimp…
>>
>>
>>
>> Je (nous, j’imagine également) suis particulièrement concerné par les
>> malwares/virus chiffreurs qui sévissent sur les postes de travail.
>>
>> Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien
>> que les dégâts soient restés circonscrits à un seul poste à chaque fois (et
>> une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien
>> partager les différentes solutions/techniques/restrictions des users/WTF
>> que vous avez mis en œuvre et pour quel résultat…
>>
>>
>>
>> Je ne suis pas intéressé par tout le discours marketing trouvable sur
>> toute les pages d’accueil des différents acteurs sécurité du marché, mais
>> les expériences tant positives que négatives en terme de déploiement de
>> solution / mitigation des menaces.
>>
>>
>>
>> Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles
>> réponses/remarques.
>>
>>
>>
>> Bruno C. Gestionnaire de parc
>>
>>
>>
>> *ü*
>>
>> *Pour la planète : échangez par courriel et n’imprimez que si nécessaire.*
>>
>>
>>
>> =
>>
>> Ce message et toutes les pie

Re: [FRsAG] [Tech] Malware /Cryptolocker

[ay pierre]

pourrait on avoir un vrai retour pour la sandbox fortinet?

nous avons que des problème actuellement avec et je voulais savoir si
c’était le cas pour les autre?

exemple de problème:

les mails mettent plus 20 min a arriver sur les boites, des virus non
détecté par la SDB fortinet  alors que des AV type avg AVAST les bloques.

des pdf tres simple qui sont rejeter ou passe en unscanable tout ça parce
qu'il ne parviens pas a les détecter, je suis en possession actuellement
d'une variante d'un locky que la sandbox forti ou mème le fortiguard ne
parvienne pas a bloquer 

au prix de appliance fortinet si d'autre personne on un retour su
expérience je suis preneur

Le 26 mai 2016 à 15:06, CORTES Bruno  a écrit :

> Plop la liste,
>
>
>
> C’est le 1er thread que j’ouvre, j’espère ne pas trop
> faire dans le nimp…
>
>
>
> Je (nous, j’imagine également) suis particulièrement concerné par les
> malwares/virus chiffreurs qui sévissent sur les postes de travail.
>
> Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien
> que les dégâts soient restés circonscrits à un seul poste à chaque fois (et
> une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien
> partager les différentes solutions/techniques/restrictions des users/WTF
> que vous avez mis en œuvre et pour quel résultat…
>
>
>
> Je ne suis pas intéressé par tout le discours marketing trouvable sur
> toute les pages d’accueil des différents acteurs sécurité du marché, mais
> les expériences tant positives que négatives en terme de déploiement de
> solution / mitigation des menaces.
>
>
>
> Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles
> réponses/remarques.
>
>
>
> Bruno C. Gestionnaire de parc
>
>
>
> *ü*
>
> *Pour la planète : échangez par courriel et n’imprimez que si nécessaire.*
>
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [Tech] Malware /Cryptolocker

[CROCQUEVIEILLE Bruno]

Il y a aussi, mais toujours pour des entreprises car ce n’est pas donné, des 
outils comme Varonis qui permettent d’analyser tout ce qui se passe sur un 
serveur de fichier et qui corrèlent les infos.

Comme tu l’as dit on peut fixer des seuils et lancer des scripts en powershell 
par ex.
Mais il sait aussi trouver les traces par le type de fichier écris, renommé ou 
supprimé en plus des seuils.
Ce n’est pas sa seule utilité car Varonis répond à de multiples besoins…

Et je te rejoins évidemment sur la formation des utilisateurs même si la 
précédente campagne dont nous avons été victimes était tellement bien faite 
(mail en français correct, pièce jointe avec le nom de la victime, informations 
plausibles, etc…) que sans la vigilance d’un ou deux utilisateurs (qui ont 
malheureusement tout  de même ouvert la pièce jointe) et une politique de 
sauvegarde performante nous aurions pû être confronté à une crise majeure.

Pour les postes de travail… seul un outil qui détecte le virus par quelque 
moyen que ce soit et qui « prévient » tous les autres postes et par exemple le 
point  d’entrée SMTP de bloquer ce type de mail peut effectivement réduire 
l’infection.
Et, oui, tout document important doit être sur un serveur… sinon tant pis pour 
l’utilisateur.

Nous avons aussi un script qui détecte certains cryptovirus… Je vais voir si je 
peux le diffuser…

Cordialement,

[cid:image001.gif@01D1B837.B796CB00]



Bruno Crocquevieille
Correspondant Sécurité des SI

RESG/GTS/RET/FSO/FRF



Immeuble Boréa
Val de Fontenay


Tél.

+33 (0)1 58 98 94 98

Mob.

+33 (0)7 84 44 09 22

E-mail

bruno.crocqueviei...@socgen.com<mailto:bruno.crocqueviei...@socgen.com>

http://www.societegenerale.com<http://www.societegenerale.com/>




[ribbon-black]







De : FRsAG [mailto:frsag-boun...@frsag.org] De la part de Pierre Colombier
Envoyé : jeudi 26 mai 2016 16:36
À : frsag@frsag.org
Objet : Re: [FRsAG] [Tech] Malware /Cryptolocker

Je pense que la sécurité n'est pas un produit mais un état d'esprit.
Alors oui, les produits anti-virus, anti-malware, ça aide mais ça ne peux 
pas suffire.
D'ailleur, ça n'a jamais suffit et je ne vois pas pourquoi ça changerait.

Je pense que sans préventif (à savoir la formation des utilisateur) il en 
passera toujours.

Mon expérience est que

Pour ce qui concerne le poste de travail, je considère que c'est du jetable.
L'usager qui n'a pas sauvegadé son taf sur le serveur (ou un autre média), 
c'est son problème.
C'est du même niveau que d'avoir la seule copie de sa thèse sur une clé usb.

Coté serveur, si les sauvagardes sont bien faites et les droits d'accès pas 
trop délirants, ça doit aller.
J'entends par là que ça fera chier mais qu'on ne dois pas avoir de gros dégats.
A noter quand même qu'il faut être en mesure de remonter rapidement des parties 
de la sauvegarde.
Les filesystem à versionning sont assez utiles de ce point de vue.


Maintenant des pistes de reflexion. (j'ai pas de produit ou script qui fait ça)
Quelque chose qui serait de nature à détecter les problème et à limiter les 
dégats et serait de blacklister un usager ou un poste qui modifie trop de 
choses sur le serveur en trop peu de temps. Tu as lu et réécrit plus de X 
fichiers en moins de Y minutes ? => tu es bloqué et l'admin averti avec la 
liste des fichiers altérés.
On peut aussi faire plus fin. t'as lu un fichier dont le types est connu (jpg, 
docx, pdf) et réécrit dans le même fichier un truc dont le type n'est plus 
identifiable. => +1 dans le compteur activité suspecte.





On 26/05/2016 15:28, Romain wrote:
Vu que ça véhicule principalement par email, je met une gateway mail en entrée 
avec un produit reconnu et les paramètres poussés au max.
Avec possibilité, en fonction du choix pour chaque adresse, d'autoriser ou non 
les fichiers zip/autre.

Si tu veux tester, je suis dispo.

Le 26 mai 2016 à 15:06, CORTES Bruno 
mailto:bcor...@montbeliard.com>> a écrit :
Plop la liste,

C’est le 1er thread que j’ouvre, j’espère ne pas trop faire 
dans le nimp…

Je (nous, j’imagine également) suis particulièrement concerné par les 
malwares/virus chiffreurs qui sévissent sur les postes de travail.
Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que 
les dégâts soient restés circonscrits à un seul poste à chaque fois (et une 
petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager 
les différentes solutions/techniques/restrictions des users/WTF que vous avez 
mis en œuvre et pour quel résultat…

Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les 
pages d’accueil des différents acteurs sécurité du marché, mais les expériences 
tant positives que négatives en terme de déploiement de solution / mitigation 
des menaces.

Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles 
réponse

Re: [FRsAG] [Tech] Malware /Cryptolocker

[CROCQUEVIEILLE Bruno]

Je ne dis pas que TOUS les cryptovirus passent (heureusement) mais nous sommes 
victimes d’attaques ciblées durant des « campagnes » et dans ce cas il peut se 
passer plusieurs jours avant que les antivirus (même les meilleurs) mettent 
leurs signatures à jour.
Ceci dit, si 5% des cryptovirus passaient ce serait une catastrophe pour nous ! 
Cela voudrait dire des milliers de mails à l’échelle du Groupe !

Même en utilisant un moteur sur les équipements réseaux par lesquels transitent 
les mails et un autre moteur sur le poste de travail il en est passé 
suffisamment pour que l’on ai quelques répertoires cryptés.

La vraie solution c’est le sandboxing pour faire détoner les charges virales. 
Encore faut-il que la solution de sandboxing soit suffisamment intelligente 
pour ne pas se faire détecter par le virus ! Car les virus les plus évolués 
savent détecter le sandboxing.

Cordialement,

[cid:image001.gif@01D1B836.44057C50]



Bruno Crocquevieille
Correspondant Sécurité des SI

RESG/GTS/RET/FSO/FRF



Immeuble Boréa
Val de Fontenay


Tél.

+33 (0)1 58 98 94 98

Mob.

+33 (0)7 84 44 09 22

E-mail

bruno.crocqueviei...@socgen.com<mailto:bruno.crocqueviei...@socgen.com>

http://www.societegenerale.com<http://www.societegenerale.com/>




[ribbon-black]







De : Romain [mailto:rom...@borezo.info]
Envoyé : jeudi 26 mai 2016 20:31
À : CROCQUEVIEILLE Bruno ResgGtsRetDsoFrv
Cc : CORTES Bruno; French SysAdmin Group
Objet : Re: [FRsAG] [Tech] Malware /Cryptolocker

Je veux bien savoir quels AV vous avez testé et qui laissent tout passer car 
moi ça chope 95% des crypto.

Le jeudi 26 mai 2016, CROCQUEVIEILLE Bruno 
mailto:bruno.crocqueviei...@socgen.com>> a 
écrit :
Bonjour,

Comme vous le voyez dans ma signature je bosse pour une banque et inutile de 
dire que nous prenons ce problème au sérieux… sans avoir de solution miracle 
pour le moment.

Nous avons plusieurs POCS en cours et nous allons donc bientôt nous décider 
pour une ou plusieurs solutions.

Comme nous ne pouvons pas bloquer les macros et que les antivirus laissent 
passer tous les virus de ce genre la solution est compliquée sans passer par un 
outil dédié.
Nous avons tout de même la chance que notre navigation internet passe par un 
proxy avec authentification et cela empêche certains virus de télécharger leur 
payload.

Solutions que nous avons mis réellement en place actuellement :

-  désactivation par défaut des macros (mais activables par 
l’utilisateur)

-  blocage de tous les sites catégorisés comme suspects et non 
catégorisés par les firewalls

-  formations obligatoire des utilisateurs

-  scripts de détection sur les serveurs de fichiers de comportement 
anormaux et signes de cryptovirus (modification de plusieurs dizaines de 
fichiers, détection des fichiers « type » des cryptovirus comme les fichiers « 
locky » ou « mp3 »

-  et bien entendu des sauvegardes quotidiennes et pas d’utilisation de 
Shadow Copy puisque les cryptovirus savent les supprimer…

Et comme je l’ai dit un choix de logiciel anti APT en cours.

De ceux que j’ai vu en POC Fortinet et son appliance et la solution TrendMicro 
(présentée par la branche sécurité de Orange) m’ont bien convaincu.
Ils proposent les même fonctionnalités avec notamment le sandboxing avec 
accélération temporelle pour « détoner » les charges virales et le blocage 
systématique des pièces jointes similaires à une précédente détection. Ils 
agissent par le blocage des pièces jointes détectées infectées et grâce à 
l’analyse de la « détonation » en bloquant les adresses des serveurs de command 
and control et les sites de téléchargement de la payload.

Ces outils ne sont pas donnés par contre… donc pour une grosse société c’est 
plus simple.



Cordialement,

[cid:image001.gif@01D1B836.44057C50]



Bruno Crocquevieille
Correspondant Sécurité des SI

RESG/GTS/RET/FSO/FRF



Immeuble Boréa
Val de Fontenay


Tél.

+33 (0)1 58 98 94 98

Mob.

+33 (0)7 84 44 09 22

E-mail

bruno.crocqueviei...@socgen.com

http://www.societegenerale.com<http://www.societegenerale.com/>




[ribbon-black]







De : FRsAG 
[mailto:frsag-boun...@frsag.org]
 De la part de CORTES Bruno
Envoyé : jeudi 26 mai 2016 15:07
À : French SysAdmin Group
Objet : [FRsAG] [Tech] Malware /Cryptolocker

Plop la liste,

C’est le 1er thread que j’ouvre, j’espère ne pas trop faire 
dans le nimp…

Je (nous, j’imagine également) suis particulièrement concerné par les 
malwares/virus chiffreurs qui sévissent sur les postes de travail.
Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que 
les dégâts soient restés circonscrits à un seul poste à chaque fois (et une 
petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager 
les différentes solutions/techniques/restrictions des users/WTF que vous avez 
mis en œuvre et pour quel résultat…

Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les 
pages 

Re: [FRsAG] [Tech] Malware /Cryptolocker

[CROCQUEVIEILLE Bruno]

Bonjour,

En fait je suis aussi intéressé car la solution Fortinet est un des challengers 
mais il n’est pas POCé pour le moment sur notre infra. Nous avons eu une 
présentation qui paraissait répondre à toutes nos préoccupations.

Je vais faire le tour du Groupe car je crois qu’une filiale l’a et qu’elle a 
aussi eu des problèmes mais qui ont été résolus… Je vous tiens au courant ☺

Cordialement,

[cid:image001.gif@01D1BA6A.1092F060]



Bruno Crocquevieille
Correspondant Sécurité des SI

RESG/GTS/RET/FSO/FRF



Immeuble Boréa
Val de Fontenay


Tél.

+33 (0)1 58 98 94 98

Mob.

+33 (0)7 84 44 09 22

E-mail

bruno.crocqueviei...@socgen.com<mailto:bruno.crocqueviei...@socgen.com>

http://www.societegenerale.com<http://www.societegenerale.com/>




[ribbon-black]







De : FRsAG [mailto:frsag-boun...@frsag.org] De la part de ay pierre
Envoyé : vendredi 27 mai 2016 10:46
Cc : French SysAdmin Group
Objet : Re: [FRsAG] [Tech] Malware /Cryptolocker

pourrait on avoir un vrai retour pour la sandbox fortinet?
nous avons que des problème actuellement avec et je voulais savoir si c’était 
le cas pour les autre?
exemple de problème:
les mails mettent plus 20 min a arriver sur les boites, des virus non détecté 
par la SDB fortinet  alors que des AV type avg AVAST les bloques.
des pdf tres simple qui sont rejeter ou passe en unscanable tout ça parce qu'il 
ne parviens pas a les détecter, je suis en possession actuellement d'une 
variante d'un locky que la sandbox forti ou mème le fortiguard ne parvienne pas 
a bloquer 
au prix de appliance fortinet si d'autre personne on un retour su expérience je 
suis preneur

Le 26 mai 2016 à 15:06, CORTES Bruno 
mailto:bcor...@montbeliard.com>> a écrit :
Plop la liste,

C’est le 1er thread que j’ouvre, j’espère ne pas trop faire 
dans le nimp…

Je (nous, j’imagine également) suis particulièrement concerné par les 
malwares/virus chiffreurs qui sévissent sur les postes de travail.
Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que 
les dégâts soient restés circonscrits à un seul poste à chaque fois (et une 
petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager 
les différentes solutions/techniques/restrictions des users/WTF que vous avez 
mis en œuvre et pour quel résultat…

Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les 
pages d’accueil des différents acteurs sécurité du marché, mais les expériences 
tant positives que négatives en terme de déploiement de solution / mitigation 
des menaces.

Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles 
réponses/remarques.

Bruno C. Gestionnaire de parc

ü

Pour la planète : échangez par courriel et n’imprimez que si nécessaire.



___
Liste de diffusion du FRsAG
http://www.frsag.org/

=

Ce message et toutes les pieces jointes (ci-apres le "message")
sont confidentiels et susceptibles de contenir des informations
couvertes par le secret professionnel. Ce message est etabli
a l'intention exclusive de ses destinataires. Toute utilisation
ou diffusion non autorisee interdite.
Tout message electronique est susceptible d'alteration. La SOCIETE GENERALE
et ses filiales declinent toute responsabilite au titre de ce message
s'il a ete altere, deforme falsifie.

=

This message and any attachments (the "message") are confidential,
intended solely for the addresses, and may contain legally privileged
information. Any unauthorized use or dissemination is prohibited.
E-mails are susceptible to alteration. Neither SOCIETE GENERALE nor any
of its subsidiaries or affiliates shall be liable for the message
if altered, changed or falsified.

=
___
Liste de diffusion du FRsAG
http://www.frsag.org/