Slide de la session "combattez efficacement les ransomwares avec la protection multi-niveaux" réalisée au salon Ivanti InterChange 2017 à Paris.

2. Combattez les
ransomwares grâce à la
protection multi niveaux
Victor GONCALVES
& Bastien BOBE

3. Les menaces en 2017

4. L’évolution des menaces
F-Secure 2017

5. Quelques chiffres
0% 5% 10% 15% 20% 25% 30% 35%
Email : URL
Email : Pièce jointe
Site web infecté
Réseaux sociaux
Clé USB
Application interne
Source inconnue
Source des attaques
0
10000
20000
30000
40000
50000
60000
70000
Russie USA Canada France Ukraine
Attaques de WannaCry

6. Comment fonctionne un ransomware ?
Le payload chiffre les
fichiers ou le disque
.locky
Le payload envoie la
clé de chiffrement
aux serveurs
AES-128
Se propage par
phishing ou par un
site web infecté
SMTP
Le payload affiche la
demande de rançon
@BitCoins
Récupère un code
malicieux sur Internet
payload.dll

7. Pourquoi votre antivirus ne peut pas tous les détecter ?
Démarrage
de la campagne
d’attaque
du ransomware
Fin de la 1ère
campagne
d’attaque
Publication des
définitions antivirus
Analyse de la campagne du ransomware WannaCry
12 mai
14H30
15h00 15h30 16h00 17h00

8. Le cas spécifique de WannaCry
Le payload chiffre et
renomme les fichiers
.WNRY
Le payload affiche la
demande de rançon
@WannaDecryptor@.exe
Le payload est éxécuté
par l’exploit
mssecsvc.exe
Utilise une vulnérabilité
Microsoft SMB
EternalBlue
Cherche d’autres cibles
sur le réseau
Exploite la même
vulnérabilité

9. Le cas spécifique de WannaCry

10. WannaCry n’était que la première vague
 Publication massive d’outils de hack utilisé par la
CIA (DarkMatter)
 Athena : exécution persistante de code à distance
dans Windows (de XP à Win10)
 SonicScrewdriver : exécution de code au démarrage
 DarkSeaSkies : code ciblant le boot EFI, le noyau
Windows et l’espace utilisateur
 Triton : code ciblant MacOS et pouvant s’installer en
tant que service
 Marbled Framework : injection d’exploit dans un
programme pour masquer son identité
 GrassHopper : utilise Windows Update pour exécuter
du code persistant ou non-persistant
Margarita, l’outil de conception
de launcher de la CIA

11. Le ransomware-as-a-service

12.  WannaCry : Démonstration

13. Comment bloquer un
ransomware ?

14. En terme de sécurité,
l’utilisateur reste
toujours la principale
faiblesse…

15. Comment bien se protéger ?
85%
permet de
limiter au
moins
Mettre en place ces 4 stratégies
des intrusions
malveillantes
1
Appliquez les
correctifs systèmes
2
Appliquez les
correctifs applicatifs
4
Gérez les privilèges
utilisateurs
3
Contrôlez les
applications

16. Appliquez les correctifs systèmes et applicatifs
 Ivanti Patch supporte les 60
applications les plus
vulnérables
 Ivanti Patch supporte les
systèmes d’exploitation
suivants

17. Gérez les applications et les droits d’accès

18. WHITELISTING
ADAPTATIF INTELLIGENT
 Gestion de l’utilisateur
 Gestion du contexte
 Intégration des nouveaux logiciels et
correctifs de sécurité
 Approbation les éditeurs de confiance
 Autorisation des applications existantes
 Evolution automatique du patrimoine
applicatif

19. Gérez les droits utilisateurs

20. GESTION DES DROITS
UTILISATEUR
ADAPTATIF EFFICACE
 Adapté au contexte
 Adapté à l’application et à l’utilisateur
 Autorisation à la volée des applications
 Intégration avec le HelpDesk
 Gestion des applications nécessitant
les droits d’administration

21.  Comment se prémunir contre un
ransomware ?

22. Ivanti Endpoint Security
1 console, 1 agent, 100% sécurisé
1
Patch Management
2
Application Control
4
Antivirus
3
Device Control

23. Questions

24. Blocage d’un ransomware avec du
WhiteListing

25. Merci