1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 655
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 655
    Points : 88 992
    Points
    88 992

    Par défaut Plus de trois millions de serveurs sont vulnérables au ransomware Samsam

    Plus de trois millions de serveurs sont vulnérables au ransomware Samsam
    d'après une enquête de Talos

    « Récemment, une large campagne de ransomware distribuant Samsam a modifié le spectre de menace de la distribution des ransomwares. Viser des vulnérabilités côté serveur pour distribuer des ransomwares est une nouvelle dimension pour une menace qui s’avère déjà prolifique », a noté Talos, la division Cisco qui s’intéresse aux menaces et potentielles menaces en termes de sécurité.

    Pour rappel, des pirates se sont servis de JexBoss, un outil open source pour tester et exploiter des serveurs d’applications JBoss, afin de pénétrer le réseau. Une fois sur le réseau, ils ont procédé au chiffrement de plusieurs systèmes Windows en utilisant le ransomware Samsam. « Par le passé des ransomwares comme CryptoLocker ou TeslaCrypt nécessitaient que quelqu’un ouvre un fichier joint ou visite un site. SamSam, lui, cible les serveurs vulnérables », expliquait Craig Williams, responsable technique de l’équipe Talos. Une manière de répondre à un double objectif selon les experts en sécurité : être indétectable et provoquer un maximum de dégâts via le réseau.

    Le groupe Talos a expliqué avoir mené une enquête pour déterminer le nombre de machines vulnérables : « au départ, nous avons commencé à parcourir internet à la recherche de machines vulnérables. Ce qui nous a conduits à approximativement 3,2 millions de machines à risque ».

    Dans le cadre de cette enquête, ils ont également cherché à déterminer le nombre de machines qui étaient déjà compromises et attendaient potentiellement le déclenchement de la charge utile du ransomware. « Nous avons trouvé plus de 2100 portes dérobées installées sur près de 1600 adresses IP » qui appartiennent à différentes entités (écoles, gouvernements, compagnies aériennes, etc.) que Talos a entrepris de prévenir.

    « Plusieurs d’entre ces systèmes ont le logiciel Folett Destiny installé. Destiny est un système de gestion de bibliothèque qui est utilisé pour suivre les avoirs d’une bibliothèque d’école et est souvent utilisé dans des écoles primaires et secondaires de par le monde. Nous avons contacté Folett, qui a décrit un système de patching impressionnant qui, en plus de colmater les failles à partir de la version 9.0 à la version 13.5, repère également tous les fichiers qui n’appartiennent pas à Destiny et qui figurent sur le système pour aider à enlever toutes portes dérobées. Le support technique de Folett va par la suite s’adresser aux clients qui ont trouvé des fichiers suspects sur leur système. Il s’agit d’un impératif, étant donné l’étendue de cette menace, que tous les utilisateurs de Destiny s’assurent de se servir de ce correctif ».

    Pendant son enquête, Talos a constaté la présence de plusieurs webshell sur les serveurs affectés (mela, shellinvoker, jbossinvoker, zecmd, cmd, genesis, sh3ll et probablement Inovkermngrt et jbot), ce qui « implique que bon nombre de ces systèmes ont été compromis à plusieurs reprises par les différents acteurs ». Il faut rappeler que les webshell sont des scripts qui permettent d’interagir sur les serveurs via le protocole HTTP. Aussi, ils permettent de prendre potentiellement le contrôle à distance des serveurs. Raison pour laquelle « les webshell sont un problème majeur de sécurité étant donné qu’ils indiquent qu’un attaquant a déjà compromis un serveur et peut y avoir accès à distance. Ce qui implique qu’un serveur web compromis peut être utilisé comme pivot pour se déplacer dans le réseau ».

    Étant donné la sévérité de ce problème, un hôte compromis doit être éteint immédiatement étant donné qu’il peut être abusé de plusieurs façons. Talos recommande plusieurs mesures une fois que vous avez identifié un webshell sur un serveur. « Notre première recommandation, si c’est possible, retirer tous les accès externes au serveur. Cela empêchera que les pirates puissent y avoir accès à distance », « la meilleure seconde option serait de restaurer une sauvegarde avant la compromission et faire la mise à jour du serveur vers une version non vulnérable avant de le remettre en production ».

    Source : blog Talos, blog Cisco

    Voir aussi :

    Pourquoi les ransomwares font-ils plus peur que les autres types de virus ? Voici des éléments de réponse compilés sur des forums de cybersécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre émérite Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    800
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 800
    Points : 2 449
    Points
    2 449

    Par défaut Next shit ?

    Après le vol de données, je dis après mais il s'agit d'un sujet toujours d'actualité, la destruction + vol de données ( Sony ), le ransomware. Jusqu'ici, tout va "bien"; il s'agit d'actions détectables donc qui peuvent être prévenues. SNORT dispose de politiques de sécurité pour les intrusions à but de ransomware (cf note de blog talos).

    Nous arrivons à la question que je me suis posé et que je me pose : le jour où c'est invisible par un flux réseau caché et des processus tout aussi cachés, que fait-on et comment ? unhide existe pour détecter les processus et ensuite on remonte le fil en kill récursif jusqu'au malfaiteur. Bien mais il ne s'agit que d'une action corrective, donc l'attaque a déjà été déclenchée et peut avoir fait du dégat. Nous sommes dans la réaction. Comment passer en prévention ?

    Jusqu'ici, une seule option m'est venu à l'esprit : une empreinte du réseau. J'explique la procédure. Un PC, un smartphone, une tablette, une multifonction disposent d'identifiants matériels à faire correspondre à une ip ( dynamique ou pas ) le tout stocké dans une base à laquelle un daemon accède perpétuellement pour valider les accés au réseau. C'est correct pour tout ce qui est visible permettant de ban tous les intrus tentant une intrusion non autorisée. Mais dans le cas d'un flux réseau caché, type origine darknet, comment faire ? Tshark en boucle suffit-il à tout détecter pour bannir l'anonyme ou je me pose une question qui ne se pose pas ? Et j'espère qu'elle ne se pose pas parce que d'une part voilà le truc de dingue pour les admin secu, et ensuite il faudrait descendre au niveau du signal.

    Chose qui peut se faire pour les domaines où l'imprévu n'a pas sa place car le temps imparti à l'improvisation est nul, voire négatif.

    Edit : suite à un test bénin, le résultat fâche ou enhousiasme suivant de quel côté on se place, et la question se pose. Ou finira par se poser.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  3. #3
    Futur Membre du Club
    Homme Profil pro
    Inscrit en
    août 2012
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : août 2012
    Messages : 5
    Points : 5
    Points
    5

    Par défaut J'ai été victime de ce fléau.

    Oui en effet j'ai été victime de ce fléau, et la rage que j'en ai encore me rendrais assassin.
    J'explique : Je suis un petit particulier qui a mis un PC monté en serveur web principalement, et j'ai des applications que j'ai développé et qui tourne pour ma domotique, donc loin même d'une petit entreprise.
    Mais un matin pas comme les autres, j'ai pris la main à distance sur la machine depuis mon pc et là l'horreur, j'ai eu l'impression de ne pas être seul, j'ai vite compris qu'il y avait un problème et j'ai couru au sous sol arrêté la machine.
    Je l'ai ensuite relancé sans connexion reseau et j'ai constaté que sur 5 disques, 4 n'était plus accessibles, j'ai remercier Norton à haute voix en lisant les fichiers texte déposés ça et là et qui demandait une rançon en bitcoins évidement je n'ai pas payer, et j'ai même réussi à réparer 2 disques, mais malheur pour moi, pas celui des sauvegardes ni celui des serveurs web. J'ai reformaté acheté Windows 10 (j'allais pas rester avec w7) un NAS 32 To et maintenant je ne met plus tous mes oeufs dans le même panier. La moralité de l'histoire, je n'ai pu récupéré des données vieille de fin 2012 uniquement parce que j'avais changé des disques à cette période et jusqu’à ce jour le reste est perdu (photos, films, programmes etc...) alors soyez vigilent et faites le maximum de sauvegardes (jour, semaine et mois) et pas comme je le faisais sur la même machine, car c'était vraiment là l'erreur qui m'a couté.

  4. #4
    Nouveau membre du Club
    Profil pro
    Inscrit en
    février 2008
    Messages
    32
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2008
    Messages : 32
    Points : 36
    Points
    36

    Par défaut

    Si il y avait vraiment 3 millions de serveurs vulnérable, ils se seraient déjà fait piraté, non ?

    Pour faire des backups j'utilise une machine connecté en direct sur le serveur, puis tout les x heures elle fait une copie du serveur via son FTP, 4 ou 5 backups complets sont conservés en historique et le tour est joué
    Économique, rapide et surtout automatique, merci raspberry (avec quoi.. 150€ ? on a un système complet de backup de 3TO)

    Coté protection, moi le truc qui me viendrait à l'esprit, dans le cadre d'une détection d'intrusion par le réseau ça serait d'utiliser un bon vieux honeypot, de fausses partitions/fichiers, un daemon qui surveille tout ça et dés que ça change, boom ! shutdown de l'interface réseau, démontage du disque, ou coupure électrique, ou que sais-je encore..

Discussions similaires

  1. Apple vend plus d'un million de modèles iPhone 3GS
    Par Marcos Ickx dans le forum Mobiles
    Réponses: 5
    Dernier message: 29/06/2009, 14h35
  2. [Hadopi] Hadopi : Un cout de plus de 200 Millions d'Euros chez les F.A.I
    Par Pierre Louis Chevalier dans le forum Politique
    Réponses: 24
    Dernier message: 20/05/2009, 11h08
  3. Réponses: 0
    Dernier message: 23/02/2009, 12h13
  4. Réponses: 4
    Dernier message: 06/06/2008, 14h39
  5. [VBA Excel] trier plus de trois colonnes
    Par comme de bien entendu dans le forum Macros et VBA Excel
    Réponses: 2
    Dernier message: 12/10/2006, 12h47

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo