Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Plus de trois millions de serveurs sont vulnérables au ransomware Samsam
D'après une enquête de Talos

Le , par Stéphane le calme

0PARTAGES

7  0 
« Récemment, une large campagne de ransomware distribuant Samsam a modifié le spectre de menace de la distribution des ransomwares. Viser des vulnérabilités côté serveur pour distribuer des ransomwares est une nouvelle dimension pour une menace qui s’avère déjà prolifique », a noté Talos, la division Cisco qui s’intéresse aux menaces et potentielles menaces en termes de sécurité.

Pour rappel, des pirates se sont servis de JexBoss, un outil open source pour tester et exploiter des serveurs d’applications JBoss, afin de pénétrer le réseau. Une fois sur le réseau, ils ont procédé au chiffrement de plusieurs systèmes Windows en utilisant le ransomware Samsam. « Par le passé des ransomwares comme CryptoLocker ou TeslaCrypt nécessitaient que quelqu’un ouvre un fichier joint ou visite un site. SamSam, lui, cible les serveurs vulnérables », expliquait Craig Williams, responsable technique de l’équipe Talos. Une manière de répondre à un double objectif selon les experts en sécurité : être indétectable et provoquer un maximum de dégâts via le réseau.

Le groupe Talos a expliqué avoir mené une enquête pour déterminer le nombre de machines vulnérables : « au départ, nous avons commencé à parcourir internet à la recherche de machines vulnérables. Ce qui nous a conduits à approximativement 3,2 millions de machines à risque ».

Dans le cadre de cette enquête, ils ont également cherché à déterminer le nombre de machines qui étaient déjà compromises et attendaient potentiellement le déclenchement de la charge utile du ransomware. « Nous avons trouvé plus de 2100 portes dérobées installées sur près de 1600 adresses IP » qui appartiennent à différentes entités (écoles, gouvernements, compagnies aériennes, etc.) que Talos a entrepris de prévenir.

« Plusieurs d’entre ces systèmes ont le logiciel Folett Destiny installé. Destiny est un système de gestion de bibliothèque qui est utilisé pour suivre les avoirs d’une bibliothèque d’école et est souvent utilisé dans des écoles primaires et secondaires de par le monde. Nous avons contacté Folett, qui a décrit un système de patching impressionnant qui, en plus de colmater les failles à partir de la version 9.0 à la version 13.5, repère également tous les fichiers qui n’appartiennent pas à Destiny et qui figurent sur le système pour aider à enlever toutes portes dérobées. Le support technique de Folett va par la suite s’adresser aux clients qui ont trouvé des fichiers suspects sur leur système. Il s’agit d’un impératif, étant donné l’étendue de cette menace, que tous les utilisateurs de Destiny s’assurent de se servir de ce correctif ».

Pendant son enquête, Talos a constaté la présence de plusieurs webshell sur les serveurs affectés (mela, shellinvoker, jbossinvoker, zecmd, cmd, genesis, sh3ll et probablement Inovkermngrt et jbot), ce qui « implique que bon nombre de ces systèmes ont été compromis à plusieurs reprises par les différents acteurs ». Il faut rappeler que les webshell sont des scripts qui permettent d’interagir sur les serveurs via le protocole HTTP. Aussi, ils permettent de prendre potentiellement le contrôle à distance des serveurs. Raison pour laquelle « les webshell sont un problème majeur de sécurité étant donné qu’ils indiquent qu’un attaquant a déjà compromis un serveur et peut y avoir accès à distance. Ce qui implique qu’un serveur web compromis peut être utilisé comme pivot pour se déplacer dans le réseau ».

Étant donné la sévérité de ce problème, un hôte compromis doit être éteint immédiatement étant donné qu’il peut être abusé de plusieurs façons. Talos recommande plusieurs mesures une fois que vous avez identifié un webshell sur un serveur. « Notre première recommandation, si c’est possible, retirer tous les accès externes au serveur. Cela empêchera que les pirates puissent y avoir accès à distance », « la meilleure seconde option serait de restaurer une sauvegarde avant la compromission et faire la mise à jour du serveur vers une version non vulnérable avant de le remettre en production ».

Source : blog Talos, blog Cisco

Voir aussi :

Pourquoi les ransomwares font-ils plus peur que les autres types de virus ? Voici des éléments de réponse compilés sur des forums de cybersécurité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Jean.Luc
Membre à l'essai https://www.developpez.com
Le 21/04/2016 à 9:50
Oui en effet j'ai été victime de ce fléau, et la rage que j'en ai encore me rendrais assassin.
J'explique : Je suis un petit particulier qui a mis un PC monté en serveur web principalement, et j'ai des applications que j'ai développé et qui tourne pour ma domotique, donc loin même d'une petit entreprise.
Mais un matin pas comme les autres, j'ai pris la main à distance sur la machine depuis mon pc et là l'horreur, j'ai eu l'impression de ne pas être seul, j'ai vite compris qu'il y avait un problème et j'ai couru au sous sol arrêté la machine.
Je l'ai ensuite relancé sans connexion reseau et j'ai constaté que sur 5 disques, 4 n'était plus accessibles, j'ai remercier Norton à haute voix en lisant les fichiers texte déposés ça et là et qui demandait une rançon en bitcoins évidement je n'ai pas payer, et j'ai même réussi à réparer 2 disques, mais malheur pour moi, pas celui des sauvegardes ni celui des serveurs web. J'ai reformaté acheté Windows 10 (j'allais pas rester avec w7) un NAS 32 To et maintenant je ne met plus tous mes oeufs dans le même panier. La moralité de l'histoire, je n'ai pu récupéré des données vieille de fin 2012 uniquement parce que j'avais changé des disques à cette période et jusqu’à ce jour le reste est perdu (photos, films, programmes etc...) alors soyez vigilent et faites le maximum de sauvegardes (jour, semaine et mois) et pas comme je le faisais sur la même machine, car c'était vraiment là l'erreur qui m'a couté.
1  0 
Avatar de marsupial
Expert confirmé https://www.developpez.com
Le 19/04/2016 à 20:10
Après le vol de données, je dis après mais il s'agit d'un sujet toujours d'actualité, la destruction + vol de données ( Sony ), le ransomware. Jusqu'ici, tout va "bien"; il s'agit d'actions détectables donc qui peuvent être prévenues. SNORT dispose de politiques de sécurité pour les intrusions à but de ransomware (cf note de blog talos).

Nous arrivons à la question que je me suis posé et que je me pose : le jour où c'est invisible par un flux réseau caché et des processus tout aussi cachés, que fait-on et comment ? unhide existe pour détecter les processus et ensuite on remonte le fil en kill récursif jusqu'au malfaiteur. Bien mais il ne s'agit que d'une action corrective, donc l'attaque a déjà été déclenchée et peut avoir fait du dégat. Nous sommes dans la réaction. Comment passer en prévention ?

Jusqu'ici, une seule option m'est venu à l'esprit : une empreinte du réseau. J'explique la procédure. Un PC, un smartphone, une tablette, une multifonction disposent d'identifiants matériels à faire correspondre à une ip ( dynamique ou pas ) le tout stocké dans une base à laquelle un daemon accède perpétuellement pour valider les accés au réseau. C'est correct pour tout ce qui est visible permettant de ban tous les intrus tentant une intrusion non autorisée. Mais dans le cas d'un flux réseau caché, type origine darknet, comment faire ? Tshark en boucle suffit-il à tout détecter pour bannir l'anonyme ou je me pose une question qui ne se pose pas ? Et j'espère qu'elle ne se pose pas parce que d'une part voilà le truc de dingue pour les admin secu, et ensuite il faudrait descendre au niveau du signal.

Chose qui peut se faire pour les domaines où l'imprévu n'a pas sa place car le temps imparti à l'improvisation est nul, voire négatif.

Edit : suite à un test bénin, le résultat fâche ou enhousiasme suivant de quel côté on se place, et la question se pose. Ou finira par se poser.
0  0 
Avatar de Equilibrius
Nouveau membre du Club https://www.developpez.com
Le 25/04/2016 à 15:34
Si il y avait vraiment 3 millions de serveurs vulnérable, ils se seraient déjà fait piraté, non ?

Pour faire des backups j'utilise une machine connecté en direct sur le serveur, puis tout les x heures elle fait une copie du serveur via son FTP, 4 ou 5 backups complets sont conservés en historique et le tour est joué
Économique, rapide et surtout automatique, merci raspberry (avec quoi.. 150€ ? on a un système complet de backup de 3TO)

Coté protection, moi le truc qui me viendrait à l'esprit, dans le cadre d'une détection d'intrusion par le réseau ça serait d'utiliser un bon vieux honeypot, de fausses partitions/fichiers, un daemon qui surveille tout ça et dés que ça change, boom ! shutdown de l'interface réseau, démontage du disque, ou coupure électrique, ou que sais-je encore..
0  0