L’art de la défense en profondeur

Après Stuxnet et Industroyer, voici venu le temps du ramsomware Ekans. Conçu pour s’attaquer aux installations industrielles, et plus spécifiquement aux logiciels permettant le contrôle des automates et fonctionnant sous Windows, ce programme malveillant prend en otage ses victimes et exige en retour une rançon. Compte tenu du contexte, la moindre paralysie peut coûter très cher, conduisant les victimes à payer. 

Pour commettre leurs forfaits, les attaquants utilisent les faiblesses inhérentes aux réseaux industriels, aux ordinateurs, aux automates et aux logiciels qui en permettent le contrôle. Ils maitrisent les outils de découverte des topologies réseaux, les outils d’attaques, la diffusion de leurs logiciels malveillants au sein des réseaux infectés et connaissent les difficultés pour une industrie de se relancer rapidement suite à une cyberattaque.

Dans le cadre de Ekans, il semble que les attaquants ont utilisé comme porte d’entrée un service Remote Desktop Protocol (RDP) exposé à Internet pour déployer le ramsomware, dont la propagation a été facilitée par l’absence de mécanisme de vérification de l’authenticité et de l’intégrité des fichiers (notamment des fichiers exécutables).

L’intérêt du filtrage électronique pour se protéger efficacement

Concrètement, le filtrage électroniquedétruit toutes les attaques sur les couches de transport de la donnée, et ce quel que soit le vecteur de propagation d’une attaque : le réseau ou l’USB. Les responsables informatiques peuvent alors adapter leur politique de sécurité relative à la protection des fichiers avec la garantie que le transfert de fichiers soit intègre de bout en bout (par exemple pour les updates ou le patch management) et qu’aucune attaque ne pourra les modifier.

Il est ainsi possible de sécuriser les échanges réseaux :

-filtrer les fichiers et ne laisser passer que ceux de confiance, grâce à des mécanismes de vérification d’intégrité et d’authenticité des fichiers,

-maîtriser les sens de passage des flux ou des fichiers,

-empêcher la propagation via des partages de fichiers (samba, NFS, ..), et ainsi de limiter la diffusion de l’attaque,

-isoler les backup et les protéger de n’importe quelle attaque réseau,

– faire du RDP sécurisé.

Fort de ces éléments, il est alors possible d’éviter toutes les attaques USB portant sur le protocole USB et de n’autoriser que les fichiers de confiance et ce quel que soit le système d’exploitation utilisé.Il n’est également pas nécessaire de se préoccuper de la clé USB (marque, type, ..) utilisée. Cette approche permet d’exclure définitivement le problème de confiance associé aux clés USB et dont la gestion complexe est peu aisée pour tout RSSI (GPO, SAS, Kiosque, …). Cela participe ainsi activement à éviter la propagation via l’USB.

Par Fabien Lavabre – Expert Cybersécurité chez Seclab