Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/mdr/help/fr-fr/index.html?contextId=TrickBot

Flux de travail de résolution des problèmes avec TrickBot ou Emotet

Suivez ces étapes pour remédier à une infection par TrickBot ou Emotet.

Introduction

La suite de programmes malveillants TrickBot ou Emotet est l’une des plus répandues et efficaces en ce moment. Elle exploite plusieurs techniques et vecteurs d’infection pour se propager dans un environnement et persister sur les appareils compromis.

Pour une protection efficace, nous recommandons Intercept X Advanced avec EDR.

Si vous avez un incident TrickBot ou Emotet actif, nous vous recommandons de nous contacter et d’acheter notre service MDR (Managed Detection and Response). Il s’agit d’une équipe hautement qualifiée qui peut vous aider à résoudre votre problème et vous fournir une analyse détaillée des attaques.

Vérifier vos appareils

Assurez-vous que vos appareils sont à jour et protégés. Pour vérifier vos appareils, procédez de la manière suivante :

  1. Assurez-vous que chaque appareil de votre réseau possède une version de Sophos Endpoint Protection qui fonctionne et mise à jour.

    Nous ne recommandons pas d’essayer de remédier à une infection TrickBot ou Emotet avec Sophos Anti-Virus (sur site). Sophos Anti-Virus ne comprend pas certaines des fonctionnalités et des outils de protection efficaces contre Trickbot ou Emotet, ni d’aide à la remédiation

  2. Mettez à jour ou supprimez tous les appareils utilisant d’anciens systèmes d’exploitation sur lesquels vous ne pouvez pas installer Sophos Endpoint ou qui ne dispose pas des mises à jour Windows appropriées.

    1. Assurez-vous que vos appareils disposent des correctifs de sécurité Windows adéquats. Un seul système non protégé ou sans correctifs peut infecter d’autres appareils protégés et avec correctifs.

  3. Désactivez tous les appareils exécutant une version de Windows 2008 autre que Windows 2008 R2 ou Windows 2003 XP ou une version antérieure pendant la phase de remédiation. Supprimez ces appareils de votre réseau en raison de leur risque de créer une nouvelle épidémie.

    Cette liste de systèmes d’exploitation changera au fur et à mesure que les versions de Windows ne seront plus prises en charge. Retrouvez plus de renseignements sur la configuration système requise actuelle sur Configuration système requise pour Sophos Central Windows Endpoint ou Configuration système requise pour Sophos Central Windows Server.

Définir l’étendue du problème

Ne faites pas l’erreur de penser que tous les appareils de votre réseau sont protégés et que vous connaissez tous les appareils de votre réseau. Il existe de nombreuses façons d’identifier les appareils sur votre réseau, et vous avez peut-être déjà des méthodes pour le faire. La meilleure option dépend de la taille et de la segmentation de votre réseau.

L’une des méthodes les plus courantes consiste à analyser le réseau et à détecter ce qui se trouve dessus.

Pour ce faire, vous pouvez utiliser des outils tiers, tels que Advanced IP Scanner.

Si vous ne souhaitez pas utiliser un outil tiers, vous pouvez utiliser l’outil Source of Infection. Il s’agit d’un outil Sophos gratuit. Il ne s’agit pas d’un produit antivirus et il ne détecte pas ni supprime les malwares. Vous le laissez s’exécuter sur un appareil et il consigne chaque fichier écrit sur cet appareil. Il génère un fichier journal contenant une liste de tous les fichiers écrits. Pour chaque fichier, le fichier journal contient le chemin complet du fichier, la date et l’heure d’écriture, et indique si un processus local ou réseau l’a écrit. Pour les processus locaux, il répertorie le nom et le chemin du fichier qui l’a écrit. Pour un processus réseau, il répertorie l’adresse IP distante ou le nom de l’appareil. Vous pouvez ensuite utiliser le fichier journal pour identifier les appareils sur lesquels se trouvent un malware potentiel non détecté. Vous pouvez, par exemple, l’utiliser pour investiguer un appareil protégé qui continue à recevoir des détections, même après plusieurs tentatives de remédiation. Des détections répétées indiquent qu’un autre appareil du réseau est infecté et tente de réinfecter votre appareil protégé. L’outil Source of Infection peut vous aider à trouver cet appareil infecté.

Retrouvez plus de renseignements sur l’outil Source of Infection dans les articles suivants de la base de connaissances :

Pour contrôler votre réseau, choisissez l’une des options suivantes :

  • Utilisez Advanced IP Scanner. Voir Advanced IP Scanner.

    Il s’agit d’un outil gratuit et simple à utiliser.

    Capture d’écran de l’outil Advanced IP Scanner.

    Il génère une liste des appareils actifs sur votre réseau que vous pouvez comparer avec les appareils répertoriés dans votre logiciel de gestion Sophos.

  • Pour utiliser l’outil Source of Infection, procédez comme suit :

    1. Téléchargez l’outil Source of Infection. Voir SourceOfInfection.zip.
    2. Déplacez-le sur l’appareil sur lequel vous souhaitez mener votre investigation.
    3. Procédez à l’extraction du programme SourceOfInfection.exe sur la racine du lecteur C.
    4. Ouvrez une fenêtre d’Invite de commande en tant qu’administrateur.
    5. Recherchez et exécutez SourceOfInfection.exe.
    6. Appuyez sur Entrée pour exécuter la commande.

    7. Laissez l’outil Source of Infection faire son travail. Pour ce faire, vous devez laisser la fenêtre d’invite de commande ouverte.

      Remarque

      Il se peut que plusieurs appareils infectés tentent d’infecter d’autres appareils sur votre réseau. Plus vous laissez l’outil Source of Infection s’exécuter, plus vous aurez de chances de voir ces informations dans le journal.

    8. Lorsqu’une nouvelle détection de malware se produit sur l’appareil, arrêtez l’outil Source of Infection en fermant la fenêtre d’invite de commande.

      Selon votre situation, la détection de nouveaux malwares peut s’effectuer en quelques secondes ou plusieurs jours.

    9. Consultez le fichier journal pour connaître la source de l’infection. Vous trouverez le fichier journal dans %temp%\Source of Infection Log.csv

      Le fichier journal est un fichier CSV, que vous pouvez ouvrir dans Microsoft Excel ou dans tout éditeur de texte.

      L’exemple suivant montre deux fichiers suspects écrits sur l’appareil à partir d’un emplacement réseau distant. Ces deux adresses IP sont probablement des appareils infectés.

      Exemple de fichier journal de l’outil Source of Infection montrant deux hôtes infectés.

    10. Répétez cette procédure pour tous les appareils sur lesquels vous souhaitez mener une investigation.

    11. Trouvez, isolez et protégez tous les appareils infectés pour empêcher la propagation de fichiers malveillants.

Vérifier votre protection

Sophos a des paramètres recommandés pour la protection contre les menaces. Ceux-ci utilisent plusieurs couches de protection. Ces paramètres offrent une protection contre les infections et facilitent le nettoyage des infections. Pour vérifier votre protection, procédez de la manière suivante :

  1. Vérifiez si vous utilisez les paramètres recommandés dans vos stratégies de protection contre les menaces.

    Retrouvez plus de renseignements sur ces paramètres en cliquant sur les liens suivants :

  2. Si vous n’utilisez pas nos paramètres recommandés, activez-les dans vos stratégies de protection contre les menaces.

  3. Si vous ne souhaitez pas utiliser tous les paramètres recommandés, vous devez activer l’option qui envoie des données sur des fichiers et des événements réseau suspects à Sophos Central pour les ordinateurs et les serveurs. Ces données sont nécessaires plus tard dans le processus de correction. Procédez de la manière suivante :

    1. Connectez-vous à Sophos Central Admin.
    2. Cliquez sur Endpoint Protection > Stratégies et activez Autoriser les ordinateurs à envoyer des données sur les fichiers suspects et les événements de réseau à Sophos Central.
    3. Cliquez sur Server Protection > Stratégies et activez Autoriser les serveurs à envoyer des données sur les fichiers suspects et les événements de réseau à Sophos Central.

Appliquer des correctifs sur vos appareils

Assurez-vous que tous vos appareils disposent des derniers correctifs de sécurité Windows. Assurez-vous d’inclure le correctif pour l’exploit EternalBlue. TrickBot ou Emotet utilisent cet exploit comme l’une de ses méthodes de propagation.

EternalBlue est un exploit qui tire profit d’une vulnérabilité dans Microsoft SMB. Le ransomware WannaCry a utilisé cet exploit pour se propager. L’application de correctifs et la suppression d’un vecteur d’infection rend la tâche plus difficile pour Trickbot ou Emotet et vous protège contre d’autres malwares utilisant EternalBlue.

Microsoft a publié le correctif pour EternalBlue dans la mise à jour Microsoft : MS17-010. L’article officiel de Microsoft explique comment vérifier si un appareil possède le correctif. Voir Comment vérifier que MS17-010 est installé.

Sophos dispose d’un script PowerShell simple qui peut être exécuté sur des ordinateurs individuels pour vous assurer qu’ils disposent du correctif. Retrouvez plus de renseignements à ce sujet sur Comment vérifier si une machine est vulnérable à EternalBlue - MS17-010.

Pour appliquer les correctifs sur vos appareils , procédez de la manière suivante :

  1. Vérifiez si vos appareils sont vulnérables à EternalBlue.
  2. Mettez à jour vos appareils avec les derniers correctifs de sécurité Windows.

Contrôler et nettoyer vos appareils

Contrôlez vos appareils pour savoir combien d’infections TrickBot ou Embotet vous avez. Vous devez ensuite nettoyer vos appareils pour éviter les réinfections.

Procédez de la manière suivante :

  1. Assurez-vous que tous les appareils sont corrigés et que Intercept X Advanced est installé.

  2. Exécutez un contrôle complet sur tous vos appareils. Pour contrôler un appareil, procédez de la manière suivante :

    1. Connectez-vous à Sophos Central Admin.
    2. Cliquez sur Endpoint Protection > Stratégies ou sur Server protection > Stratégies.
    3. Dans Protection contre les menaces, cliquez sur la stratégie assignée aux utilisateurs, ordinateurs ou serveurs que vous souhaitez vérifier.
    4. Cliquez sur Paramètres et faites défiler la liste jusqu’à Contrôle planifié.
    5. Sélectionnez Activer le contrôle planifié.

    6. Définissez une durée d’exécution du contrôle.

      Le contrôle exige que les appareils soient allumés et actifs.

    7. Désactivez Activer le contrôle en profondeur : contrôle dans les fichiers archive (.zip, .cab, etc.) et Contrôler tous les fichiers.

      Vous devez effectuer un contrôle complet pour indexer tous les fichiers. Ces paramètres supplémentaires ralentissent l’indexation ou peuvent empêcher le contrôle sur certains appareils.

  3. Une fois le contrôle intégral terminé, veuillez nettoyer l’infection avec Sophos Central Admin. Procédez de la manière suivante :

    1. Connectez-vous à Sophos Central Admin et cliquez sur Centre d’analyse des menaces > Recherches de menace.

    2. Recherchez les emplacements d’injection de malwares.

      • C:\
      • C:\Windows
      • C:\Windows\System32
      • C:\Windows\Syswow64
      • C:\ProgramData
      • C:\Users\*<Username\>*\AppData\Roaming\*<random name\>*.

    3. Accédez à l’un de ces emplacements et cliquez sur Connexions réseau.

      Cette option limite la liste aux fichiers exécutables qui effectuent des connexions réseau. TrickBot ou Emotet tentent de se propager et doivent effectuer des connexions réseau.

    4. Recherchez les fichiers exécutables qui se démarquent ou dont vous n’êtes pas sûr.

    5. Pour chacun de ces fichiers, cliquez sur Générer un nouveau dossier Menace et Demande de renseignements les plus récents depuis le dossier Menace pour obtenir plus d’informations.
    6. Vérifiez les données et cliquez sur Nettoyer et bloquer si nécessaire.

    Si vous avez besoin de plus de renseignements sur un fichier, envoyez un échantillon comme indiqué sur Comment envoyer des échantillons de fichiers suspects à Sophos.

  4. Consultez les Dossiers menace et les Alertes pour voir les nouvelles détections et les détections récentes. Recherchez des signes de détection de TrickBot ou d’Emotet.

    • CXmal/Emotet-C
    • HPmal/Emotet-D
    • HPmal/TrikBot-G
    • Mal/EncPk-AN
    • HPmal/Crushr-AU
    • Troj/Inject-DTW
    • Troj/LnkRun-T
    • AMSI/Exec-P
    • Troj/Emotet-CJW

  5. Recherchez les détections suivantes :

    • Mal/Generic-R
    • Mal/Generic-S
    • ML/PE-A
    • Code Cave
    • APC Violation
    • Safe Browsing
    • LoadLib

  6. Répétez ce processus pour chaque fichier dans Recherches de menace.

  7. Nettoyez les fichiers infectés.
  8. Redémarrez tous vos appareils pour supprimer les infections en mémoire.
  9. Répétez ces étapes jusqu’à ce qu’il ne reste plus aucun signe de TrickBot ou d’Emotet.

Remédiation finale

Si vous continuez à recevoir des détections, il y a une infection sur un appareil de votre réseau.

Les infections TrickBot ou Emotet persistent dans un dossier et sous une forme « sans fichier ». Pour les corriger, vous devez réduire leur capacité à se répliquer dans les deux formes. Retrouvez plus de renseignements sur le fonctionnement de ce malware sur Résoudre les épidémies de malware Emotet et TrickBot.

Pour retrouver les appareils infectés restants, procédez comme suit :

  1. Répétez les étapes de ce flux de travail.

  2. Si vous ne trouvez pas la source de la détection, cliquez sur Centre d’analyse des menaces > Recherches de menace et vérifiez les emplacements où TrickBot ou Emotet a été trouvé.

    • C:\Windows\<A Randomly Named EXE>
    • C:\windows\system32\<A Randomly Named EXE>
    • C:\Windows\Syswow64\<A Randomly Named EXE>
    • C:\stsvc.exe
    • C:\Users\<username>\AppData\Roaming\*<A Randomly Named EXE\>*
    • C:\Users\<username>\AppData\Roaming\<Six-Letter-Folder>
    • C:\ProgramData\<Randomly Named EXEs>

  3. Lorsque vous trouvez le fichier exécutable qui évite la détection, vous pouvez Envoyer un échantillon.

  4. Si vous ne trouvez pas le fichier exécutable, contactez l’équipe Sophos MDR Rapid Response.

Vidéo de résolution des problèmes avec TrickBot ou Emotet

Cette vidéo aborde ce flux de travail.