Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport de Sécurité infio SOFAFER V1.0 .docx
1. CLIENT : SOFAFER
NOM DU PROJET : Rapport de Sécurité SOFAFER
DATE : 16/02/2024
VERSION
:
1.0
Rapport de
Sécurité SOFAFER
2024
2. 2
Table des matières
SUIVI DU DOCUMENT .......................................................................................................... 3
1. Contexte et objectif du document.................................................................................... 4
2. Analyse des intrusions ........................................................................................................ 4
2.1 Détection des attaques et des tentatives d'intrusion ......................................................... 4
2.2 Réponses aux événements détectés.................................................................................. 5
3. Détection des Malwares ......................................................................................................... 6
3.1 Types de malwares détectés ............................................................................................. 6
3.2 Réponses aux événements détectés.................................................................................. 6
4. Contrôle d'accès Internet ........................................................................................................ 7
4.1 Blocage de sites Web malveillants ou non conformes..................................................... 7
4.2 Analyse de l'utilisation d'Internet ..................................................................................... 7
4.3 Identification des tendances et des risques potentiels ...................................................... 9
3. 3
SUIVI DU DOCUMENT
Rédacteurs
Nom Fonction Contact
HAMZA MICHBAL Ingénieur Réseau & Sécurité +212 6 62 30 98 92
Historique des modifications
Date Vérificateur Nature du changement
31/12/2023 Technique Création
Cliquez ici pour entrer une date. Chef de projet Vérification
Cliquez ici pour entrer une date.
Historique des révisions
Version Date Révisé par
1.0 31/12/2023 Hamza Michbal
2.0
Cliquez ici pour entrer une
date.
Diffusion du document
Entité Destinataires
SOFAFER Service Technique SOFAFER
SINGLA Service Technique SINGLA
Etat du document :
Contact
Pour toute demande concernant ce document :
Nom Téléphone Email
HAMZA MICHBAL +212 6 62 30 98 92 Hamza.michbal@singla.ma
4. 4
Contexte et objectif du document
Dans un paysage numérique en constante évolution, la sécurité des réseaux est une
préoccupation primordiale pour les organisations. Avec la prolifération des cybermenaces, la mise en
place d'une solution de firewalling robuste et polyvalente est essentielle pour protéger les actifs et
les données sensibles.
Ce rapport se concentre sur l'évaluation de la sécurité d’infrastructure réseau SOFAFER, en
mettant en avant l'efficacité des fonctionnalités IPS, Antivirus et Filtrage Web intégrées à la solution
de firewalling. En analysant les menaces actuelles, en évaluant l'architecture et la configuration du
firewall, ainsi qu'en examinant les performances des différentes fonctionnalités de sécurité, ce
rapport vise à fournir un aperçu complet de l'état de la sécurité du réseau et à proposer des
recommandations pour renforcer sa résilience face aux cyberattaques.
1. Analyse des intrusions
2.1 Détection des attaques et des tentatives d'intrusion
Le system IPS activé sur le Firewall Fortigate a Détecté et a bloqué plusieurs types attaques au niveau
du Réseau SOFAFER :
Figure 1 : Capture IPS Détection
La première attaque Bloqué De type TCP.Split.Handshake : consiste que les attaquants
peuvent obtenir des informations sur le système pour se préparer à de nouvelles attaques.
Le tableau suivant représente les traces de l’attaque :
Date Source User/PC Destination Localisation Threat Level Attack Name Message
2024-02-16
172.16.20.106
50:65:f3:1a:98:
10
Windows 196.92.3.5 Maroc
TCP.Split.Handsha
ke
a-ipdf:
TCP.Split.Handshake, TCP
split handshake at state:
ESTABLISHED
La deuxième attaque Bloqué de type Mozi.Botnet : Mozi est un botnet IoT qui utilise le P2P
pour la communication et consiste que les attaquants distants peuvent prendre le contrôle
des systèmes vulnérables
Le tableau suivant représente les traces de l’attaque :
Date Source User/PC Destination Localisation Threat Level Attack Name Message
2024-02-16 172.16.20.55
DESKTOP-
H26I7AH
178.72.88.231 Russie Mozi.Botnet backdoor: Mozi.Botnet
5. 5
38:ca:84:41:eb:
0e
Winwods 10
La Troisième Attaque Bloqué de type Java.Debug.Wire.Protocol.Insecure.Configuration :
Cela indique une tentative d'utilisation du protocole Java Debug Wire (JDWP) pour accéder
au débogage à distance.
JDWP permet le débogage à distance de la machine virtuelle Java. Cependant, ce protocole
n'authentifie pas les utilisateurs et n'est pas sécurisé. Les attaquants peuvent utiliser JDWP
pour effectuer une injection de commandes. Le port du service JDWP ne doit jamais être
exposé au public.
Cette signature peut détecter les tentatives d'exploitation d'une vulnérabilité d'exécution de
code à distance dans le NVR de SOFAFER. Une vulnérabilité dans la fonctionnalité de
contrôle d'accès pourrait permettre à un attaquant distant non authentifié d'exécuter du
code arbitraire avec les privilèges root sur un système affecté. La vulnérabilité est due à un
manque d'authentification et à l'exposition du port du service JDWP au public.
Le tableau suivant représente les traces de l’attaque :
Time Source Localisation Destination Equipement Threat Level Attack Name Message
2024-02-14 45.128.232.159 Pays-Bas
172.16.20.21
4
NVR-port 8000
Java.Debug.Wire.P
rotocol.Insecure.C
onfiguration
misc:
Java.Debug.Wire.Protocol.I
nsecure.Configuration
2024-02-13 49.51.252.126 US
172.16.20.21
4
NVR-port 8000
Java.Debug.Wire.P
rotocol.Insecure.C
onfiguration
misc:
Java.Debug.Wire.Protocol.I
nsecure.Configuration
La quatrième attaque Bloqué de type Sality.Botnet : Sality est la classification d'une famille
de logiciels malveillants (malware), qui infectent les fichiers du système Microsoft Windows
Les systèmes infectés par Sality peuvent communiquer sur un réseau peer-to-peer (P2P) pour
former un botnet afin de relayer le spam , le proxy des communications, l'exfiltration de
données sensibles, la compromission des serveurs Web et/ou la coordination de tâches
informatiques distribuées pour traiter des tâches intensives (par exemple, mot de passe).
fissuration)
Le tableau suivant représente les traces de l’attaque :
Time Source User/PC Destination Localisation Threat Level Attack Name Message
2024-02-09
172.16.20.30
c0:18:03:5b:0a:53
DESKTOP-
1L6J83L
United Arab
Emirates Émirats Sality.Botnet backdoor: Sality.Botnet
2024-02-09
172.16.20.30
c0:18:03:5b:0a:53
DESKTOP-
1L6J83L
United Arab
Emirates Émirats Sality.Botnet backdoor: Sality.Botnet
2.2 Réponses aux événements détectés
La réponse aux événements précédents se décline comme suit :
Vérification des mises a jours antivirus Kaspersky sur les ordinateurs des utilisateurs.
Analyse des vulnérabilités sur les ordinateurs des utilisateurs.
Réalisation du formatage des ordinateurs affectés par les attaques mentionnées
précédemment :
User/PC Source OS Threat Level Attack Name Action
------
172.16.20.106
50:65:f3:1a:98:10
Windows 10
TCP.Split.Handsha
ke
Formatage
DESKTOP-
H26I7AH
172.16.20.55
38:ca:84:41:eb:0e
Winwods 10 Mozi.Botnet Formatage
6. 6
DESKTOP-
1L6J83L
172.16.20.30
c0:18:03:5b:0a:53
Winwods 10
Sality.Botnet Formatage
Désactivation de la publication du NVR sur le Web
3. Détection des Malwares
3.1 Types de malwares détectés
Le system Antivirus activé sur le Firewall Fortigate a Détecté et a bloqué plusieurs types de Malwares
au niveau du Réseau SOFAFER :
Le système antivirus a identifié le premier virus sous le nom de Riskware/uTorrent :
classé comme un type de Riskware, c’est un logiciel à risque désigne toute application
potentiellement indésirable qui n'est pas classée comme logiciel malveillant, mais qui
peut utiliser les ressources du système de manière indésirable ou gênante et/ou
présenter un risque de sécurité.
Le tableau suivant représente les traces de l’attaque :
Time Source User/PC File Name Destination Localisation Threat Level Attack Name Message
2024-02-14
172.16.20.99
80:c1:6e:f5:59:54
BENSOUDA
utorrent.47008.in
staller.exe
95.140.230.2
17 Italie
Riskware/uTorr
ent
File is infected.
Le système antivirus a identifié le deuxième virus sous le nom de JS/Agent.00E5!tr est classé
comme cheval de Troie. Est un type de malware qui exécute des activités à l'insu de
l'utilisateur. Ces activités incluent généralement l'établissement de connexions d'accès à
distance, la capture des saisies au clavier, la collecte d'informations système, le
téléchargement/téléchargement de fichiers, l'introduction d'autres logiciels malveillants
dans le système infecté, l'exécution d'attaques par déni de service (DoS) et
l'exécution/termination de processus.
Le tableau suivant représente les traces de l’attaque :
Time Source User/PC File Name Destination Localisation Threat Level Attack Name Message
Full Time
172.16.20.52
e0:73:e7:11:5a:ba
DESKTOP-
SO10EFK
PO.gz 64.90.62.162 US
JS/Agent.00E5!t
r
File is infected.
Le cheval de Troie JS/Agent.00E5!tr tente de se propager avec le protocole IMAP de puis
l’ordinateur DESKTOP-SO10EFK avec l’adresse électronique kurnia@graecum.com Vers
l’adresse électronique compara.messaoudi@sofafer.ma.
3.2 Réponses aux événements détectés
La réponse aux événements précédents se décline comme suit :
Vérification des mises a jours antivirus Kaspersky sur les ordinateurs des utilisateurs.
Analyse des vulnérabilités sur les ordinateurs des utilisateurs.
Réalisation du formatage des ordinateurs affectés par les virus mentionnés précédemment :
User/PC Source OS Threat Level Virus Name Action
BENSOUDA
172.16.20.99
80:c1:6e:f5:59:54
Windows 10 Riskware/uTorrent
Désinstaller utorrent et
analyse de l’ordinateur
DESKTOP-
SO10EFK
172.16.20.52
e0:73:e7:11:5a:ba
Winwods 10 JS/Agent.00E5!tr Formatage
7. 7
4. Contrôle d'accès Internet
4.1 Blocage de sites Web malveillants ou non conformes
Le system Web Filter activé sur le Firewall Fortigate a Détecté et a bloqué plusieurs types de URL au
niveau du Réseau SOFAFER :
Les LOG sont accompagnés avec ce rapport de Sécurité SOFAFER
Fichier LOG_forticloud-webfilter-2024_02_16
4.2 Analyse de l'utilisation d'Internet
La capture suivante represent la totalité des site URL visité depuis l’installation du Firewall :
9. 9
4.3 Identification des tendances et des risques
Voici une capture de la protection du trafic Firewall des risques sur le réseau.
Evènements de sécurité détectée :