Combattez les

ransomwares grâce à la

protection multi niveaux

Victor GONCALVES

& Bastien BOBE

Les menaces en 2017

L’évolution des menaces

F-Secure 2017

Quelques chiffres

0% 5% 10% 15% 20% 25% 30% 35%

Email : URL

Email : Pièce jointe

Site web infecté

Réseaux sociaux

Clé USB

Application interne

Source inconnue

Source des attaques

0

10000

20000

30000

40000

50000

60000

70000

Russie USA Canada France Ukraine

Attaques de WannaCry

Comment fonctionne un ransomware ?

Le payload chiffre les fichiers ou le disque

.locky

Le payload envoie la clé de chiffrement

aux serveurs

AES-128

Se propage par phishing ou par un

site web infecté

SMTP

Le payload affiche la demande de rançon

@BitCoins

Récupère un code malicieux sur Internet

payload.dll

Pourquoi votre antivirus ne peut pas tous les détecter ?

Démarrage

de la campagne

d’attaque

du ransomware

Fin de la 1ère

campagne

d’attaque

Publication des

définitions antivirus

Analyse de la campagne du ransomware WannaCry

12 mai

14H3015h00 15h30 16h00 17h00

Le cas spécifique de WannaCry

Le payload chiffre et renomme les fichiers

.WNRY

Le payload affiche la demande de rançon

@WannaDecryptor@.exe

Le payload est éxécutépar l’exploit

mssecsvc.exe

Utilise une vulnérabilitéMicrosoft SMB

EternalBlue

Cherche d’autres cibles

sur le réseau

Exploite la même

vulnérabilité

Le cas spécifique de WannaCry

WannaCry n’était que la première vague

Publication massive d’outils de hack utilisé par la

CIA (DarkMatter)

Athena : exécution persistante de code à distance

dans Windows (de XP à Win10)

SonicScrewdriver : exécution de code au démarrage

DarkSeaSkies : code ciblant le boot EFI, le noyau

Windows et l’espace utilisateur

Triton : code ciblant MacOS et pouvant s’installer en

tant que service

Marbled Framework : injection d’exploit dans un

programme pour masquer son identité

GrassHopper : utilise Windows Update pour exécuter

du code persistant ou non-persistantMargarita, l’outil de conception

de launcher de la CIA

Le ransomware-as-a-service

WannaCry : Démonstration

Comment bloquer un

ransomware ?

En terme de sécurité,

l’utilisateur reste

toujours la principale

faiblesse…

Comment bien se protéger ?

85%permet de

limiter au

moins

Mettre en place ces 4 stratégies

des intrusions

malveillantes

1

Appliquez les

correctifs systèmes

2

Appliquez les

correctifs applicatifs

4

Gérez les privilèges

utilisateurs

3

Contrôlez les

applications

Appliquez les correctifs systèmes et applicatifs

Ivanti Patch supporte les 60

applications les plus

vulnérables

Ivanti Patch supporte les

systèmes d’exploitation

suivants

Gérez les applications et les droits d’accès

WHITELISTING

ADAPTATIF INTELLIGENT

Gestion de l’utilisateur

Gestion du contexte

Intégration des nouveaux logiciels et

correctifs de sécurité

Approbation les éditeurs de confiance

Autorisation des applications existantes

Evolution automatique du patrimoine

applicatif

Gérez les droits utilisateurs

GESTION DES DROITS

UTILISATEUR

ADAPTATIF EFFICACE

Adapté au contexte

Adapté à l’application et à l’utilisateur

Autorisation à la volée des applications

Intégration avec le HelpDesk

Gestion des applications nécessitant

les droits d’administration

Comment se prémunir contre un

ransomware ?

Ivanti Endpoint Security

1 console, 1 agent, 100% sécurisé

1

Patch Management

2

Application Control

4

Antivirus

3

Device Control

Questions

Blocage d’un ransomware avec du

WhiteListing

Merci