Cisco Cisco ScanSafe Secure Mobility Informationshandbuch
![Cisco](https://files.manualsbrain.com/attachments/7380d0050044647c30f5c24bbbf5d0c0b6d9bb84/common/fit/150/50/faa183d287233c52228cfea3dbc2a127fe780f60564fcb0955d9c3d1cd23/brand_logo.png)
© 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco.
Page 3 sur 8
Solution
Cisco a recommandé au client d
’effectuer une mise à niveau vers CWS Premium, qui inclut les moteurs CTA et
AMP, afin de bénéficier d
’une visibilité accrue sur son réseau et d’aider l’équipe de sécurité à catégoriser les
menaces.
L
’analyse rétrospective d’AMP permet de détecter les fichiers habilement déguisés et les programmes malveillants
sophistiqués considérés comme « sains » lorsqu
’ils ont traversé les lignes de défense du périmètre. AMP alerte
sur-le-champ l
’administrateur de la sécurité et lui permet de voir quel utilisateur sur le réseau est susceptible
d
’avoir été contaminé et à quel moment.
Parallèlement, CTA détecte les menaces les plus furtives qui ont réussi à s
’infiltrer et qui opèrent activement sur le
réseau d
’entreprise. Ce système innovant de détection des programmes malveillants fait appel à l’analyse
comportementale et à la détection des anomalies pour identifier les terminaux compromis. CTA repose sur des
méthodes avancées d
’analyse statistique et sur l’apprentissage automatique pour identifier séparément les
nouvelles menaces, en apprenant de ce qu
’il voit et en s’adaptant au fil du temps, sans nécessiter d’ajustement ni
de configuration.
CTA a identifié une preuve d
’activité d’un programme malveillant sur le réseau du client et l’a signalée. Le
programme en question se composait d
’un ensemble de modules contrôlés par une entité malveillante. En
l
’occurrence, la charge utile était le rançongiciel CryptoLocker. Ce programme malveillant sophistiqué chiffre les
fichiers présents sur les ordinateurs des victimes et verrouille les appareils jusqu
’à ce qu’une rançon soit versée.
5
Comme l
’indique la figure 2, le pirate a utilisé une infrastructure de contrôle-commande pour lancer l’attaque. Cette
campagne s
’est déroulée en quatre étapes clés :
Étape 1
Le pirate a utilisé une attaque (CVE-2012-4681) pour tirer parti d
’une vulnérabilité du composant Java
Runtime Environment (JRE) dans la mise à jour Oracle de Java 6 vers Java SE 7. Il a ainsi pu exécuter
du code à distance tout en échappant à l
du code à distance tout en échappant à l
’administrateur de la sécurité.
Étape 2
Le bootkit (Rovnix.l) s
’est ensuite installé sur l’ordinateur pour assurer une présence permanente.
Étape 3
La charge utile a alors été libérée, rendant le programme malveillant pleinement opérationnel. (En
l
l
’occurrence, la charge utile était le rançongiciel CryptoLocker.)
Étape 4
Enfin, l
’attaque a créé des biais de contrôle-commande afin de maintenir l’opération active.
Figure 2. Les quatre étapes clés de l
’attaque
5
Le malvertising, procédé utilisé pour diffuser des programmes malveillants, a joué un rôle majeur dans la diffusion de