Bonjour la communauté
Dès lors que l’on est vérolé par un ransomware, il est important de bloquer toutes les communications vers internet pour limiter les échanges de clés de cryptage qui servent au rançongiciel.
Dans une entreprise possédant un proxy déclaré dans le navigateur n’est il pas possible sur tous les postes utilisateurs de bloquer par une règle de FW toutes les communications vers cette IP sauf pour le process du navigateur ?
Quelqu’un a-t-il déjà mi en place ce type de règle ? Je recherche un retour d’expérience et la méthodologie pour la mettre en œuvre sereinement.
Moz
Hello,
Tu peux toujours déployer un script sur les clients concernés pour bloquer tout le trafic par défaut sauf process concernés, j'avais fait l’expérience pour des confs génériques ça marche pas trop mal (même si bon ça reste le FW Windows).
Après bon IMO, si le client est infecté il ne devrait pas avoir d'accès réseau du tout...
NB : C'est dredi mais bon ça me fait grincer des dents quand même :) https://chiffrer.info
On 31/01/2020 13:25, elpablodelcasata@netcourrier.com wrote:
Bonjour la communauté
Dès lors que l’on est vérolé par un ransomware, il est important de bloquer toutes les communications vers internet pour limiter les échanges de clés de cryptage qui servent au rançongiciel.
Dans une entreprise possédant un proxy déclaré dans le navigateur n’est il pas possible sur tous les postes utilisateurs de bloquer par une règle de FW toutes les communications vers cette IP sauf pour le process du navigateur ?
Quelqu’un a-t-il déjà mi en place ce type de règle ? Je recherche un retour d’expérience et la méthodologie pour la mettre en œuvre sereinement.
Moz
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
On est d'accord ! un client infecté ne doit pas avoir accès a internet.
Je suis en capacité de déployer cette conf par GPO, mais la GPO ne me semble pas évidente à faire...
De : Jarod G. skid+frsag@tuto-craft.com À : frsag@frsag.org Sujet : Re: [FRsAG] Règle FW windows autoriser uniquement le navigateur a communiquer avec le proxy Date : 31/01/2020 13:57:47 Europe/Paris
Hello,
Tu peux toujours déployer un script sur les clients concernés pour bloquer tout le trafic par défaut sauf process concernés, j'avais fait l’expérience pour des confs génériques ça marche pas trop mal (même si bon ça reste le FW Windows).
Après bon IMO, si le client est infecté il ne devrait pas avoir d'accès réseau du tout...
NB : C'est dredi mais bon ça me fait grincer des dents quand même :) https://chiffrer.info
On 31/01/2020 13:25, elpablodelcasata@netcourrier.com wrote:
Bonjour la communauté
Dès lors que l’on est vérolé par un ransomware, il est important de bloquer toutes les communications vers internet pour limiter les échanges de clés de cryptage qui servent au rançongiciel.
Dans une entreprise possédant un proxy déclaré dans le navigateur n’est il pas possible sur tous les postes utilisateurs de bloquer par une règle de FW toutes les communications vers cette IP sauf pour le process du navigateur ?
Quelqu’un a-t-il déjà mi en place ce type de règle ? Je recherche un retour d’expérience et la méthodologie pour la mettre en œuvre sereinement.
Moz
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Sent with [ProtonMail](https://protonmail.com) Secure Email.
‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐ On Friday, January 31, 2020 1:30 PM, elpablodelcasata@netcourrier.com wrote:
Bonjour,
On est d'accord ! un client infecté ne doit pas avoir accès a internet. Je suis en capacité de déployer cette conf par GPO, mais la GPO ne me semble pas évidente à faire...
De : Jarod G. skid+frsag@tuto-craft.com À : frsag@frsag.org Sujet : Re: [FRsAG] Règle FW windows autoriser uniquement le navigateur a communiquer avec le proxy Date : 31/01/2020 13:57:47 Europe/Paris
Hello,
Tu peux toujours déployer un script sur les clients concernés pour bloquer tout le trafic par défaut sauf process concernés, j'avais fait l’expérience pour des confs génériques ça marche pas trop mal (même si bon ça reste le FW Windows).
Après bon IMO, si le client est infecté il ne devrait pas avoir d'accès réseau du tout...
NB : C'est dredi mais bon ça me fait grincer des dents quand même :) https://chiffrer.info
On 31/01/2020 13:25, elpablodelcasata@netcourrier.com wrote:
Bonjour la communauté
Dès lors que l’on est vérolé par un ransomware, il est important de bloquer toutes les communications vers internet pour limiter les échanges de clés de cryptage qui servent au rançongiciel.
Dans une entreprise possédant un proxy déclaré dans le navigateur n’est il pas possible sur tous les postes utilisateurs de bloquer par une règle de FW toutes les communications vers cette IP sauf pour le process du navigateur ?
Quelqu’un a-t-il déjà mi en place ce type de règle ? Je recherche un retour d’expérience et la méthodologie pour la mettre en œuvre sereinement.
Moz
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Sent with [ProtonMail](https://protonmail.com) Secure Email.
‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐ On Friday, January 31, 2020 12:57 PM, Jarod G. skid+frsag@tuto-craft.com wrote:
Hello,
Tu peux toujours déployer un script sur les clients concernés pour bloquer tout le trafic par défaut sauf process concernés, j'avais fait l’expérience pour des confs génériques ça marche pas trop mal (même si bon ça reste le FW Windows).
Après bon IMO, si le client est infecté il ne devrait pas avoir d'accès réseau du tout...
NB : C'est dredi mais bon ça me fait grincer des dents quand même :) https://chiffrer.info
On 31/01/2020 13:25, elpablodelcasata@netcourrier.com wrote:
Bonjour la communauté
Dès lors que l’on est vérolé par un ransomware, il est important de bloquer toutes les communications vers internet pour limiter les échanges de clés de cryptage qui servent au rançongiciel.
Dans une entreprise possédant un proxy déclaré dans le navigateur n’est il pas possible sur tous les postes utilisateurs de bloquer par une règle de FW toutes les communications vers cette IP sauf pour le process du navigateur ?
Quelqu’un a-t-il déjà mi en place ce type de règle ? Je recherche un retour d’expérience et la méthodologie pour la mettre en œuvre sereinement.
Moz
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
on peut faire plein de chose avec Windows. Mais d'abord une remarque.
Si vous avez un poste vérolé (le ransomware en est le pire pour les users à l'heure actuelle), il faut immédiatement "arracher" la prise réseau. Bref, tout déconnecter (filaire ou pas) pour éviter une propagation.
Qui à déjà du se faire...
Sinon pour votre question sur le proxy on peut agir au niveau des GPO:
https://social.technet.microsoft.com/wiki/contents/articles/5156.how-to-forc...
Localement...poste par poste.
ou
Si tant est que cette entreprise possède une infra Active Directory (fortement conseillé)...
On peut aussi scripter.
Note.
Un FW n'agit pas au niveau d'un proxy (qui peut lui-même en être un, même si ce n'est pas la panacée).
Après, cherchez des mots clés comme "disable WPAD".
Mais de toute façon un poste vérolé est considéré comme "dead". Il faudra voir aussi ce qu'il à contaminé...partage SMB, clés USB...etc, etc).
On pourrait parler d'analyses aussi mais ce n'est pas le sujet.
On est tous d'accord que si une machine est vérolée elle doit être déconnectée du réseau immédiatement.
Cependant pour s'en rendre compte, cela peut prendre un peu de temps, et si le proxy est réglé dans Windows, alors le ransomeware n'aura pas de mal à récupérer cette info pour se connecte à internet.
Si, dans le pare-feu windows seul le processus du navigateur peut accéder à l'IP du proxy alors on bloque tout échange de clé possible !
Par GPO et je connais la GPO qui permet de définir un proxy, ce n'est pas vraiment l'objet de ma question.
Cdt
De : Philippe Beauchet philippe.beauchet@map.cnrs.fr À : frsag@frsag.org Sujet : Re: [FRsAG] Règle FW windows autoriser uniquement le navigateur a communiquer avec le proxy Date : 31/01/2020 14:34:59 Europe/Paris
Bonjour,
on peut faire plein de chose avec Windows. Mais d'abord une remarque.
Si vous avez un poste vérolé (le ransomware en est le pire pour les users à l'heure actuelle), il faut immédiatement "arracher" la prise réseau. Bref, tout déconnecter (filaire ou pas) pour éviter une propagation.
Qui à déjà du se faire...
Sinon pour votre question sur le proxy on peut agir au niveau des GPO:
https://social.technet.microsoft.com/wiki/contents/articles/5156.how-to-forc...
Localement...poste par poste.
ou
Si tant est que cette entreprise possède une infra Active Directory (fortement conseillé)...
On peut aussi scripter.
Note.
Un FW n'agit pas au niveau d'un proxy (qui peut lui-même en être un, même si ce n'est pas la panacée).
Après, cherchez des mots clés comme "disable WPAD".
Mais de toute façon un poste vérolé est considéré comme "dead". Il faudra voir aussi ce qu'il à contaminé...partage SMB, clés USB...etc, etc).
On pourrait parler d'analyses aussi mais ce n'est pas le sujet.
Bonjour,
Cependant pour s'en rendre compte, cela peut prendre un peu de temps, et si le proxy est réglé dans Windows, alors le ransomeware n'aura pas de mal à récupérer cette info pour se connecte à internet.
Dans le début de ma carrière, je faisais des tests d'intrusion... et j'ai donc développé quelques trojans customs. Hors, la première chose qu'on fait, pour ouvrir un canal de communication c'est d'aller récupérer les paramètres de proxy. Et si le ransomware est codé pour utiliser les API d'accès HTTP de l'OS, il n'y a rien à faire, les paramètres de proxy seront déjà pris en compte. Donc non, c'est une très mauvaise idée de se dire que le ransomware n'ira pas chercher cette info...
Laisser le poste connecté au réseau est dans tous les cas une mauvaise idée, à cause de la propagation... il n'y a aucune raison pour que le ransomware entre sur le réseau et encore moins de raisons pour qu'une machine l'execute. C'est plutôt là qu'il faut chercher les solutions :)
Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier
Sent with ProtonMail Secure Email.
‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐ On Saturday, February 1, 2020 1:05 PM, Philippe Bourcier philippe@frnog.org wrote:
Bonjour,
Cependant pour s'en rendre compte, cela peut prendre un peu de temps, et si le proxy est réglé dans Windows, alors le ransomeware n'aura pas de mal à récupérer cette info pour se connecte à internet.
Dans le début de ma carrière, je faisais des tests d'intrusion... et j'ai donc développé quelques trojans customs. Hors, la première chose qu'on fait, pour ouvrir un canal de communication c'est d'aller récupérer les paramètres de proxy. Et si le ransomware est codé pour utiliser les API d'accès HTTP de l'OS, il n'y a rien à faire, les paramètres de proxy seront déjà pris en compte. Donc non, c'est une très mauvaise idée de se dire que le ransomware n'ira pas chercher cette info...
Laisser le poste connecté au réseau est dans tous les cas une mauvaise idée, à cause de la propagation... il n'y a aucune raison pour que le ransomware entre sur le réseau et encore moins de raisons pour qu'une machine l'execute. C'est plutôt là qu'il faut chercher les solutions :)
Cordialement,
Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier
Liste de diffusion du FRsAG http://www.frsag.org/
Sent with [ProtonMail](https://protonmail.com) Secure Email.
‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐ On Friday, January 31, 2020 3:00 PM, elpablodelcasata@netcourrier.com wrote:
On est tous d'accord que si une machine est vérolée elle doit être déconnectée du réseau immédiatement.
Cependant pour s'en rendre compte, cela peut prendre un peu de temps, et si le proxy est réglé dans Windows, alors le ransomeware n'aura pas de mal à récupérer cette info pour se connecte à internet. Si, dans le pare-feu windows seul le processus du navigateur peut accéder à l'IP du proxy alors on bloque tout échange de clé possible !
Par GPO et je connais la GPO qui permet de définir un proxy, ce n'est pas vraiment l'objet de ma question.
Cdt
De : Philippe Beauchet philippe.beauchet@map.cnrs.fr À : frsag@frsag.org Sujet : Re: [FRsAG] Règle FW windows autoriser uniquement le navigateur a communiquer avec le proxy Date : 31/01/2020 14:34:59 Europe/Paris
Bonjour,
on peut faire plein de chose avec Windows. Mais d'abord une remarque.
Si vous avez un poste vérolé (le ransomware en est le pire pour les users à l'heure actuelle), il faut immédiatement "arracher" la prise réseau. Bref, tout déconnecter (filaire ou pas) pour éviter une propagation.
Qui à déjà du se faire...
Sinon pour votre question sur le proxy on peut agir au niveau des GPO:
https://social.technet.microsoft.com/wiki/contents/articles/5156.how-to-forc...
Localement...poste par poste.
ou
Si tant est que cette entreprise possède une infra Active Directory (fortement conseillé)...
On peut aussi scripter.
Note.
Un FW n'agit pas au niveau d'un proxy (qui peut lui-même en être un, même si ce n'est pas la panacée).
Après, cherchez des mots clés comme "disable WPAD".
Mais de toute façon un poste vérolé est considéré comme "dead". Il faudra voir aussi ce qu'il à contaminé...partage SMB, clés USB...etc, etc).
On pourrait parler d'analyses aussi mais ce n'est pas le sujet.
--
Cordialement,
Philippe Beauchet CNRS
Le 31/01/2020 à 13:25, elpablodelcasata@netcourrier.com a écrit :
Bonjour la communauté
Dès lors que l’on est vérolé par un ransomware, il est important de bloquer toutes les communications vers internet pour limiter les échanges de clés de cryptage qui servent au rançongiciel.
Dans une entreprise possédant un proxy déclaré dans le navigateur n’est il pas possible sur tous les postes utilisateurs de bloquer par une règle de FW toutes les communications vers cette IP sauf pour le process du navigateur ?
Quelqu’un a-t-il déjà mi en place ce type de règle ? Je recherche un retour d’expérience et la méthodologie pour la mettre en œuvre sereinement.
Moz
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Sent with ProtonMail Secure Email.
‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐ On Friday, January 31, 2020 1:34 PM, Philippe Beauchet philippe.beauchet@map.cnrs.fr wrote:
Bonjour,
on peut faire plein de chose avec Windows. Mais d'abord une remarque.
Si vous avez un poste vérolé (le ransomware en est le pire pour les users à l'heure actuelle), il faut immédiatement "arracher" la prise réseau. Bref, tout déconnecter (filaire ou pas) pour éviter une propagation.
Qui à déjà du se faire...
Sinon pour votre question sur le proxy on peut agir au niveau des GPO:
https://social.technet.microsoft.com/wiki/contents/articles/5156.how-to-forc...
Localement...poste par poste.
ou
Si tant est que cette entreprise possède une infra Active Directory (fortement conseillé)...
On peut aussi scripter.
Note.
Un FW n'agit pas au niveau d'un proxy (qui peut lui-même en être un, même si ce n'est pas la panacée).
Après, cherchez des mots clés comme "disable WPAD".
Mais de toute façon un poste vérolé est considéré comme "dead". Il faudra voir aussi ce qu'il à contaminé...partage SMB, clés USB...etc, etc).
On pourrait parler d'analyses aussi mais ce n'est pas le sujet.
Cordialement,
Philippe Beauchet CNRS
Le 31/01/2020 à 13:25, elpablodelcasata@netcourrier.com a écrit :
Bonjour la communauté Dès lors que l’on est vérolé par un ransomware, il est important de bloquer toutes les communications vers internet pour limiter les échanges de clés de cryptage qui servent au rançongiciel. Dans une entreprise possédant un proxy déclaré dans le navigateur n’est il pas possible sur tous les postes utilisateurs de bloquer par une règle de FW toutes les communications vers cette IP sauf pour le process du navigateur ? Quelqu’un a-t-il déjà mi en place ce type de règle ? Je recherche un retour d’expérience et la méthodologie pour la mettre en œuvre sereinement. Moz
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Je crois que Julie a décidé de nous spammer la liste frsag après avoir fait de même sur frnog.
Le ven. 7 févr. 2020 à 10:51, Julie via FRsAG frsag@frsag.org a écrit :
Sent with ProtonMail Secure Email.
‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐ On Friday, January 31, 2020 1:34 PM, Philippe Beauchet < philippe.beauchet@map.cnrs.fr> wrote:
Bonjour,
on peut faire plein de chose avec Windows. Mais d'abord une remarque.
Si vous avez un poste vérolé (le ransomware en est le pire pour les users à l'heure actuelle), il faut immédiatement "arracher" la prise réseau. Bref, tout déconnecter (filaire ou pas) pour éviter une
propagation.
Qui à déjà du se faire...
Sinon pour votre question sur le proxy on peut agir au niveau des GPO:
https://social.technet.microsoft.com/wiki/contents/articles/5156.how-to-forc...
Localement...poste par poste.
ou
Si tant est que cette entreprise possède une infra Active Directory (fortement conseillé)...
On peut aussi scripter.
Note.
Un FW n'agit pas au niveau d'un proxy (qui peut lui-même en être un, même si ce n'est pas la panacée).
Après, cherchez des mots clés comme "disable WPAD".
Mais de toute façon un poste vérolé est considéré comme "dead". Il faudra voir aussi ce qu'il à contaminé...partage SMB, clés USB...etc,
etc).
On pourrait parler d'analyses aussi mais ce n'est pas le sujet.
Cordialement,
Philippe Beauchet CNRS
Le 31/01/2020 à 13:25, elpablodelcasata@netcourrier.com a écrit :
Bonjour la communauté Dès lors que l’on est vérolé par un ransomware, il est important de bloquer toutes les communications vers internet pour limiter les échanges de clés de cryptage qui servent au rançongiciel. Dans une entreprise possédant un proxy déclaré dans le navigateur n’est il pas possible sur tous les postes utilisateurs de bloquer par une règle de FW toutes les communications vers cette IP sauf pour le
process
du navigateur ? Quelqu’un a-t-il déjà mi en place ce type de règle ? Je recherche un retour d’expérience et la méthodologie pour la mettre en œuvre
sereinement.
Moz
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Le 07/02/2020 à 10:53, Refuznik a écrit :
Je crois que Julie a décidé de nous spammer la liste frsag après avoir fait de même sur frnog.
Le ven. 7 févr. 2020 à 10:51, Julie via FRsAG <frsag@frsag.org mailto:frsag@frsag.org> a écrit :
Bonjour,
L'auteur de ces spams a déjà sévi sur bar@ovh en changeant d'adresse mail plusieurs fois avant de poursuivre sur FRnOG et FRsAG. Quelques règles de filtrage suffisent à le neutraliser, sauf quand une autre personne lui répond sur une liste...
Laurent Barme.
Sent with [ProtonMail](https://protonmail.com) Secure Email.
‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐ On Friday, January 31, 2020 12:25 PM, elpablodelcasata@netcourrier.com wrote:
Bonjour la communauté
Dès lors que l’on est vérolé par un ransomware, il est important de bloquer toutes les communications vers internet pour limiter les échanges de clés de cryptage qui servent au rançongiciel.
Dans une entreprise possédant un proxy déclaré dans le navigateur n’est il pas possible sur tous les postes utilisateurs de bloquer par une règle de FW toutes les communications vers cette IP sauf pour le process du navigateur ?
Quelqu’un a-t-il déjà mi en place ce type de règle ? Je recherche un retour d’expérience et la méthodologie pour la mettre en œuvre sereinement.
Moz
-
elpablodelcasata@netcourrier.com -
Jarod G. -
Julie -
Laurent Barme -
Philippe Beauchet -
Philippe Bourcier -
Refuznik