Tester sans risque un ransomware sur votre réseau pour vous protéger

by | Mar 5, 2018 | Sécurité

La contamination du réseau informatique

Un ransomware ne limite pas son impact au seul poste infecté. Il va étendre ses effets sur les fichiers hors du système compromis en utilisant les droits de l’utilisateur infecté ou l’absence de sécurité sur des partages de document. Ainsi les sauvegardes reliées à un poste seront irréversiblement endommagées, les fichiers partagés avec cet utilisateur vont être chiffrés tout comme les documents des répertoires non sécurisés.

Privilège minimum

En informatique, le principe du privilège minimum consiste à limiter les droits d’un utilisateur à ses seuls besoins. Par commodité ou par inadvertance, de nombreux utilisateurs internes ou externes disposent d’accès trop étendus pour leur travail. Les cas les plus fréquents rencontrés pendant les audits aux seins de TPE et PME :

  • Directeur exigeant l’accès à l’intégralité des documents de l’entreprise depuis son poste. Après vérification les accès hors de son répertoire direction représentaient moins de 0,001 % de l’activité effective de sa machine sur douze mois
  • Technicien informatique ayant accès depuis sa session quotidienne à tous les répertoires de l’entreprise sans en avoir l’utilité
  • Dossiers scanner ou public accessibles sans authentification dans le réseau interne
  • Collaborateur qui a changé de fonction et a toujours les accès de son ancien service

Le ransomware ou rançongiciel est le type de logiciel malveillant le plus médiatisée ces dernières années.

  • Cryptowall
  • CryptXXX
  • Locky
  • CerberCTB-Locker
  • Petya
  • WannaCry
  • NotPetya
  • Bad Rabbit

Sont les plus célèbres et ont été diffusés par le biais de la messagerie, de site internet compromis ou d’attaque directe comme le bruteforce RDP

 

Rappel : sauvegardes hors-ligne et EDR

Vous devez toujours avoir une sauvegarde déconnectée des systèmes en production. Ainsi en cas d’attaque l’intégrité de la sauvegarde sera préservée et vous pourrez restaurer vos données sans risques. Privilégiez également les solutions de type EDR et SIEM plutôt que les antivirus (EPP) traditionnels, aujourd’hui obsolètes face aux nouveaux ransomwares.

Un code malveillant exécuté sur votre session disposera au minimum de vos privilèges et de vos droits. Il est ainsi pertinent d’étudier les droits des utilisateurs et de les limiter au strict minimum pour réduire la surface d’attaque.

Simuler une attaque sans risque gratuitement

MalwareSimulator est un utilitaire portable gratuit permettant d’étudier les accès potentiels d’un ransomware sur votre système informatique. Son fonctionnement est limité et ne remplacera pas les outils payants permettant d’étudier les permissions de manière complète. Néanmoins il permet une première approche en listant les répertoires accessibles depuis un poste. Comme un ransomware cet outil va se connecter au répertoires, déposer un fichier de preuve MalwareSimulator.txt et le supprimera immédiatement.

Vous pouvez effectuer quatre tests :

  • -localsystem : simulation en local sur le serveur ou sur le poste de travail avec création d’un rapport résumant les répertoires vulnérables et protégés
  • -localsystem -evidence : simulation en local qui ne supprimera pas les fichiers .txt après leur création
  • -network : test sur le réseau informatique, l’application tentera de se connecter aux partages non protégés
  • -network -evidence : si l’application accède à un partage elle ajoutera dans chaque dossier un fichier texte mais ne le supprimera pas automatiquement après le test

malwaresimulator.exe commands

Après son exécution un fichier journal vous listera les répertoires accessibles. Vous pouvez également exécuter l’application en mode evidence. Dans ce cas le fichier Malware_Simulator.txt ne sera pas supprimé des dossiers accessibles.

screenshoot malwaresimulator.exe

Capture d’écran sous windows du résultat d’une exécution de MalwareSimulator.exe

Le résumé vous indique au final le nombre de dossiers protégés / vulnérables et liste ces dossiers. Cette application ne nécessite pas d’être installée et ne requiert pas de droits administrateurs pour fonctionner.

Elle est mise à disposition gratuitement sur GitHub et a été développée par Bruno Caseiro.

Nota : Nous avons testé cette application Python sur des environnements virtualisés et physiques sans détecter de comportement anormal au sein des systèmes ou par des connexions à des sources externes.

Contactez-nous pour un audit informatique ou une sensibilisation de vos collaborateurs aux risques informatiques.