S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 01 juin 2015
N° CERTFR-2015-ACT-022
Affaire suivie par: CERT-FR
le 01 juin 2015

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2015-ACT-022

Gestion du document

Référence CERTFR-2015-ACT-022
Titre Bulletin d’actualité CERTFR-2015-ACT-022
Date de la première version 01 juin 2015
Date de la dernière version 01 juin 2015
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 – System Monitor 3

L’utilitaire SysMon (System Monitor) est fourni par Microsoft dans sa suite logicielle SysInternals. Il a récemment été mis à jour avec la publication de la version 3. Cet outil permet d’enregistrer dans les journaux d’événements du système de nombreuses informations qui pourront se révéler utiles lors de l’analyse d’un incident de sécurité informatique. L’utilitaire peut être configuré pour se lancer dès le démarrage de la machine, afin de scruter les actions réalisées très tôt lors du démarrage. Les événements suivants sont journalisés :
  • la création et la terminaison de processus ;
  • le chargement de pilotes de périphériques ;
  • le chargement de bibliothèques dynamiques par les processus ;
  • la création de fils d’exécution dans des processus tiers via les API CreateRemoteThread (nouveauté de la version 3) ;
  • le changement de l’attribut « date de création » de fichiers sur le disque ;
  • les connexions réseau initiées par les processus.
Ces fonctionnalités peuvent apparaitre similaires à la fonction Audit process tracking fournie de base par le système d’exploitation, cependant SysMon apporte des précisions supplémentaires. Il stocke en particulier l’intégralité de la ligne de commande utilisée pour lancer un processus, et calcule un condensat cryptographique des fichiers exécutables considérés. Il permet également de croiser les différents éléments journalisés par l’utilisation d’un GUID reliant de façon fiable chaque évenements à un processus.

Toutes ces informations peuvent fournir une aide précieuse lors de l’analyse d’une compromission, ou lors de l’étude d’un code malveillant.

Documentation

2 – Vigilance sur la catégorisation des sites Internet

La plupart des serveurs mandataires filtrants disposent d’une liste plus ou moins conséquente de catégories dans lesquelles sont classés les sites web. Cette catégorisation est dans la majorité des cas le résultat d’un algorithme mis au point par l’éditeur de la solution de filtrage, avec en complément des vérifications ou ajustements manuels.

L’intérêt de classifier les sites web permet à un administrateur de filtrer les accès en se basant sur des catégories, sans avoir à établir et maintenir lui-même une liste de sites. Ce filtrage peut s’effectuer en liste blanche ou liste noire.

Il faut toutefois rester vigilant et ne pas se reposer uniquement sur cette fonctionnalité pour assurer la protection de son système d’information (stratégie de défense en profondeur). En effet, ces technologies ont certaines limites :

  • la catégorisation est faite automatiquement dans la plupart des cas, et même en cas de vérification manuelle, une erreur de catégorisation ou une catégorisation multiple aura pour effet de contourner la politique de sécurité ;
  • tous les sites ne sont pas catégorisés, ce qui rend la mise en oeuvre de la liste blanche parfois chronophage auprès des utilisateurs ;
  • les domaines malveillants ou les points d’eau sont très volatiles et leur identification auprès de l’éditeur peut prendre un certain temps. Par conséquent, en cas de blocage des catégories liées à du code malveillant (kits d’exploitation, serveurs de contrôle, etc.), des domaines non catégorisés pourront toujours contourner la politique de sécurité pendant une période de temps donnée.

Si cette fonctionnalité est retenue, le CERT-FR recommande de mettre en oeuvre d’autres mécanismes de sécurité en complément, comme ceux présentés dans le guide d’hygiène informatique (pare-feu périmétrique, mise à jour des systèmes, etc.).

Documentation

Rappel des avis émis

Dans la période du 25 au 31 mai 2015, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 01 juin 2015
    version initiale.