Lignes directrices pour le traitement d'infections par ver des systèmes d'information

Auteur de la fiche IRM : CERT SG / Vincent Ferran-Lacome
Version de la fiche IRM : 1.3

Préparation

1
  • DĂ©finir les acteurs de chaque entitĂ© qui constitueront la cellule de crise. Ces acteurs doivent figurer dans un annuaire constamment maintenu Ă  jour.
  • S’assurer que les outils d’analyse (antivirus, IDS, collecteurs de journaux) sont fonctionnels, non compromis et Ă  jour.
  • S’assurer d’avoir une cartographie rĂ©seau Ă  jour.
  • S’assurer d’avoir un inventaire Ă  jour des actifs (comme une CMDB).
  • Assurer une veille permanente de la sĂ©curitĂ© et aviser les Ă©quipes en charge de la sĂ©curitĂ© de l’évolution de la menace.

Identification

2

Détecter l’infection

Centraliser et analyser les informations de multipes sources :

  • journaux antiviraux ;
  • systèmes de dĂ©tection d’intrusion (IDS) ;
  • tentatives de connexion suspectes sur les serveurs ;
  • grand nombre de comptes bloquĂ©s ;
  • trafic rĂ©seau suspect ;
  • tentatives de connections suspectes sur les pare-feux ;
  • augmentation du nombre d’appels au support ;
  • charge Ă©levĂ©e ou blocage des systèmes ;
  • grande quantituĂ© de courriels envoyĂ©s.

Si l’un ou plusieurs des symptômes sont constatés, les acteurs définits à l’étape “Préparation” devraient prendre contact et si nécessaire activer la cellule de crise.

Identifier l’infection

Analysez les symptômes pour identifier le ver, ses vecteurs de propagation et les contre-mesures adaptées.

Des pistes suivantes peuvent ĂŞtre suivis :

  • bulletins des CERT / CSIRT ;
  • contact d’un support externe (Ă©diteurs d’antivirus…) ;
  • sites spĂ©cialisĂ©s en sĂ©curitĂ© (Secunia, SecurityFocus…).

Notifiez le Responsable de la Sécurité des Systèmes d’Information. Contactez votre CERT / CSIRT si nécessaire.

Qualifier le périmètre de l’infection

Identifier les limites de l’infection (infection globale ou limitée à une filiale…). Si possible, qualifier l’impact métier de l’infection.

Endiguement

3

La cellule de crise devrait décider et suivre les actions suivantes :

  1. Déconnecter d’Internet le périmètre infecté.

  2. Isoler le périmètre infecté, le déconnecter de tout réseau.

  3. Si des systèmes critiques pour la poursuite de l’activité métier ne peuvent être déconnectés, les laisser en place après s’être assuré qu’ils ne peuvent constituer un vecteur d’infection ou appliquer des méthodes de contournement éprouvées.

  4. Neutraliser les vecteurs de propagation, ceux-ci pouvant être n’importe quoi, du trafic réseau à la faille logicielle. Des contre-mesures adaptées peuvent être prises (correctifs, blocage de trafic, désactivation d’équipements…), comme les techniques suivantes :

    • Utilitaire de dĂ©ploiement des correctifs (WSUS),
    • Politiques de groupes Windows (GPO),
    • Règles de pare-feux,
    • ProcĂ©dures opĂ©rational.

  5. Répeter les étapes 2 à 4 sur chaque sous-périmètre infecté jusqu’à l’arrêt de la prolifération du ver. Dans la mesure du possible, suivre l’infection avec des outils d’analyse (console antivirale, journaux des serveurs, appels au support).

La prolifération du ver doit être suivie.

Périphériques mobiles

S’assurer qu’aucun ordinateur portable, PDA ou périphérique de stockage amovible ne peut être utilisé comme vecteur de propagation du ver. Dans la mesure du possible, bloquer toutes leurs connexions.

Demander aux utilisateurs de suivre scrupuleusement les consignes.

À la fin de cette étape, l’infection devrait être engiguée.

Remédiation

4

Identifer

Identifez les utilitaires et méthodes de remédiation. Les ressources suivantespeuvent être envisagées :

  • Correctifs des Ă©diteurs (Microsoft, Oracle…)
  • Bases des signatures antivirales
  • Contact d’un support externe
  • Sites spĂ©cialisĂ©s en sĂ©curitĂ©

Définsez un processus de désinfection. Ce processur doit être validé par une antité externe, comme votre CERT ou CSIRT.

Tester

Tester le processur de désinfection et s’assurer qu’il est effectif sans causer de dommage supplémentaire.

DĂ©ployer

Déployer les outils de désinfection, les options suivantes pouvant être envisagées :

  • WSUS
  • GPO
  • dĂ©ploiement de signatures antivirales
  • dĂ©sinfection manuelle

Attention: certains vers bloquent certaines des méthodes de déploiement, auquel cas un contournement sera nécessaire.

L’avancement de la remédiation devrait être suivi par la cellule de crise.

RĂ©tablissement

5

Vérifier que toutes les étapes précédentes ont été correctement suivies et obtenir une validation hierarchique pour les étapes suivantes.

  1. Rétablir le trafic réseau qui était utilisé comme méthode de propragation par le ver.
  2. Reconnecter les sous-périmètres entre eux
  3. Reconnecter les ordinateurs portables du périmètre
  4. Reconnecter le périmètre touché au réseau local
  5. Reconnecter le périmètre touché à Internet

Toutes ces étapes doivent être réalisées une à une et sous une supervision technique imposée par l’équipe de crise.

Suites

6

Rapport d’incident

Un rapport de crise devrait être rédigé et mis à disposition de l’ensemble des acteurs de la cellule de crise.

Les points suivants devraient être abordés :

  • Cause initiale de l’infection
  • Actions et chronologie de chaque Ă©vĂ©nement majeur
  • Ce qui s’est bien passĂ©.
  • Ce qui s’est mal passĂ©.
  • CoĂ»t de l’incident

Capitaliser

Capitaliser en identifiant les actions nécessaire pour améliorer les processus de traitement d’une infection par ver.