Limiter et protéger votre entreprise contre les attaques de type Dridex peut se faire à différents niveaux d’interception : Fichiers, Registre, URL et IP, et celà à travers plusieurs technologies des gammes de produits Intel Security. La protection contre ce type de codes malveillants extrêment volatile nécessite une approche multi niveaux et une coordination entre les différents outils.
Pour tous les détails sur DRIDEX et le downloalder l’accompagnement:
- https://kc.mcafee.com/corporate/index?page=content&id=PD25689 – W97M/Downloader
- https://kc.mcafee.com/corporate/index?page=content&id=PD25982 – Dridex
Au niveau de vos Endpoints:
Il est primordial au niveau du Endpoint de mettre en place et d’activer les détections par réputations à travers le Global Threat Intelligence sur toutes les technologies utilisées.
Il est possible de plus au regard du fonctionnement des codes DRIDEX d’activer des régles de détections au niveau de la protection d’accés de Virusscan Enterprise.
Pour plus de détails sur les étapes à suivre pour mettre en place les régles de protections ou d’alertes d’accés :
How to create a user-defined Access Protection Rule from a VSE 8.x or ePO 5.x console
How to use wildcards when creating exclusions in VirusScan Enterprise 8.x
DRIDEX présente un comportement dans lequel il se copie dans le répertoire Admin d’Application Data en utilisant le terme Edge ou edg et une valeur numérique aléatoire, voici des exemples :
Win XP:
C:Documents and SettingsAdministratorApplication DataLocal Settingsedge or edg[random.hex].exe
WIN7:
C:UsersAdministratorAppdatalocaledge or edg[random.hex].exe
Nos utilisateurs peuvent ainsi utiliser une régles d’Access Protection pour restreindre ou auditer la création de nouveaux fichiers ou repertoires :
Selectionner New files being created et ajouter les information suivantes : File or folder name to block:
- [OS installed drive]Documents and Settings[administrator]Application DataLocal Settingsedge or edg[random.hex].exe
[random. hex] peut être remplacé par ‘*’ ou par un élément plus précis ce qui peut donner par exemple *.tmp ou edge123.tmp.
Example Access Protection Rules
Windows 7:
Windows XP:
Pour la DLL droppée:
Il est possible aussi de bloquer des éléments de DRIDEX via Host Intrusion Prevention
- Pour blacklister une application avec une signature personnalisée Host Intrusion Prevention (Host IPS) KB71329.
- Pour bloquer un binaire à travers une règle KB71794.
- Pour créer une règle qui protége contre le hooking entre executables KB71794.
*** Disclaimer: Usage of *.* in access protection rules will prevent all types of files from running and being accessed from that specific location. If specifying a process path under “Processes to Include”, the use of wildcards for Folder Names may lead to unexpected behavior. Users are requested to make this rule as specific as possible.
Au niveau des passerelles mails :
Il n’est pas nécessaire de repasser trop de temps sur les basiques mais néanmoins réenforcer l’attention des utilisateurs reste clef :
- Ne pas ouvrir les pièces jointes venant d’expéditeur inconnu
- Si un email parait trop intéressant, sur-vendeur, ou étrange supprimez le
- Aucun organisme ne vous demande jamais vos coordonnées bancaires
Le renforcement des régles dans les passerelles mails permet aussi de limiter les impacts de DRIDEX via :
- Interdiction des executables en pièces jointes
- L’activation de la fonction : Find all macros and treat as infected
Enfin formez vos utilisateurs avec des outils comme : https://phishingquiz.mcafee.com/
Nouvelles technologies:
Il est a noter que la technologie Threat Intelligence Exchange associée à Advanced Threat Defense vous permet de protéger vos employés des attaques de type DRIDEX. De plus ces technologies vous permettent aussi d’utiliser les IOCs d’autres sources afin d’augmenter votre niveau de protection global: https://www.youtube.com/watch?v=Wxvizasvj8k&feature=player_embedded
Dans TIE la régle : Malware Dropped by Infected Microsoft Office Documents permet une anticipation de la menace, plus d’information sur : https://community.mcafee.com/docs/DOC-6908
Enfin Application Control permet une couverture optimale sur les machines.
Conclusion:
Même si les techniques utilisées par DRIDEX ne sont pas nouvelles il est toujours compliqué de bloquer toutes les variantes avec une approche uniquement basée sur les signatures. L’activation de GTI , la soumission d’échantillons permettent une amélioration significative du taux de couverture. La meilleure approche étant l’utilisation de la Sécurité Connectée à travers TIE, et ATD afin de travailler sur le comportement et découvrir les patients zéros afin de protéger le reste de l’infrastructure à travers le partage d’intelligence https://community.mcafee.com/docs/DOC-6462
Merci à mes collégues, Emmanuel Flores, Vinoo Thomas et John Health.
The post Dridex Best Practices appeared first on McAfee.