Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=TrickBot

Correction des problèmes avec TrickBot ou Emotet

Suivez ces étapes pour remédier à une infection par TrickBot ou Emotet.

Introduction

La suite de programmes malveillants TrickBot ou Emotet est l’une des plus répandues et efficaces en ce moment. Elle exploite plusieurs techniques et vecteurs d’infection pour se propager dans un environnement et persister sur les appareils compromis.

Pour une protection efficace, nous recommandons l’utilisation de Sophos EDR ou de Sophos XDR.

Si vous avez un incident TrickBot ou Emotet actif, nous vous recommandons de nous contacter et d’acheter notre service MDR (Managed Detection and Response). Il s’agit d’une équipe hautement qualifiée qui peut vous aider à résoudre votre problème et vous fournir une analyse détaillée des attaques.

Vérifier vos appareils

Assurez-vous que vos appareils sont à jour et protégés. Pour vérifier vos appareils, procédez de la manière suivante :

  1. Assurez-vous que chaque appareil de votre réseau possède une version de Sophos Endpoint Protection qui fonctionne et mise à jour.

    Nous ne recommandons pas d’essayer de remédier à une infection TrickBot ou Emotet avec Sophos Anti-Virus (sur site). Sophos Anti-Virus ne comprend pas certaines des fonctionnalités et des outils de protection efficaces contre Trickbot ou Emotet, ni d’aide à la remédiation

  2. Mettez à jour ou supprimez tous les appareils utilisant d’anciens systèmes d’exploitation sur lesquels vous ne pouvez pas installer Sophos Endpoint ou qui ne dispose pas des mises à jour Windows appropriées.

    1. Assurez-vous que vos appareils disposent des correctifs de sécurité Windows adéquats. Un seul système non protégé ou sans correctifs peut infecter d’autres appareils protégés et avec correctifs.

  3. Désactivez tous les appareils exécutant une version de Windows 2008 autre que Windows 2008 R2 ou Windows 2003 XP ou une version antérieure pendant la phase de remédiation. Supprimez ces appareils de votre réseau en raison de leur risque de créer une nouvelle épidémie.

    Cette liste de systèmes d’exploitation changera au fur et à mesure que les versions de Windows ne seront plus prises en charge. Retrouvez plus de renseignements sur la configuration système requise actuelle sur Configuration système requise pour Sophos Central Windows Endpoint ou Configuration système requise pour Sophos Central Windows Server.

Définir l’étendue du problème

Ne faites pas l’erreur de penser que tous les appareils de votre réseau sont protégés et que vous connaissez tous les appareils de votre réseau. Il existe de nombreuses façons d’identifier les appareils sur votre réseau, et vous avez peut-être déjà des méthodes pour le faire. La meilleure option dépend de la taille et de la segmentation de votre réseau.

L’une des méthodes les plus courantes consiste à analyser le réseau et à détecter ce qui se trouve dessus.

Pour ce faire, vous pouvez utiliser des outils tiers, tels que Advanced IP Scanner.

Pour contrôler votre réseau, choisissez l’une des options suivantes :

  • Utilisez Advanced IP Scanner. Voir Advanced IP Scanner.

    Il s’agit d’un outil gratuit et simple à utiliser.

    Capture d’écran de l’outil Advanced IP Scanner.

    Il génère une liste des appareils actifs sur votre réseau que vous pouvez comparer avec les appareils répertoriés dans votre logiciel de gestion Sophos.

Vérifier votre protection

Sophos a des paramètres recommandés pour la protection contre les menaces. Ceux-ci utilisent plusieurs couches de protection. Ces paramètres offrent une protection contre les infections et facilitent le nettoyage des infections. Pour vérifier votre protection, procédez de la manière suivante :

  1. Vérifiez si vous utilisez les paramètres recommandés dans vos stratégies de protection contre les menaces.

    Retrouvez plus de renseignements sur ces paramètres en cliquant sur les liens suivants :

  2. Si vous n’utilisez pas nos paramètres recommandés, activez-les dans vos stratégies de protection contre les menaces.

Appliquer des correctifs sur vos appareils

Assurez-vous que tous vos appareils disposent des derniers correctifs de sécurité Windows. Assurez-vous d’inclure le correctif pour l’exploit EternalBlue. TrickBot ou Emotet utilisent cet exploit comme l’une de ses méthodes de propagation.

EternalBlue est un exploit qui tire profit d’une vulnérabilité dans Microsoft SMB. Le ransomware WannaCry a utilisé cet exploit pour se propager. L’application de correctifs et la suppression d’un vecteur d’infection rend la tâche plus difficile pour Trickbot ou Emotet et vous protège contre d’autres malwares utilisant EternalBlue.

Microsoft a publié le correctif pour EternalBlue dans la mise à jour Microsoft : MS17-010. L’article officiel de Microsoft explique comment vérifier si un appareil possède le correctif. Voir Comment vérifier que MS17-010 est installé.

Sophos dispose d’un script PowerShell simple qui peut être exécuté sur des ordinateurs individuels pour vous assurer qu’ils disposent du correctif. Retrouvez plus de renseignements à ce sujet sur Comment vérifier si une machine est vulnérable à EternalBlue - MS17-010.

Pour appliquer les correctifs sur vos appareils , procédez de la manière suivante :

  1. Vérifiez si vos appareils sont vulnérables à EternalBlue.
  2. Mettez à jour vos appareils avec les derniers correctifs de sécurité Windows.

Contrôler et nettoyer vos appareils

Contrôlez vos appareils pour savoir combien d’infections TrickBot ou Embotet vous avez. Vous devez ensuite nettoyer vos appareils pour éviter les réinfections.

Procédez de la manière suivante :

  1. Assurez-vous que tous les appareils ont leurs correctifs et que Sophos Endpoint est installé.

  2. Exécutez un contrôle complet sur tous vos appareils. Pour contrôler un appareil, procédez de la manière suivante :

    1. Connectez-vous à Sophos Central.
    2. Allez dans Mes produits > Endpoint > Stratégies ou Mes produits > Serveur > Stratégies.
    3. Dans Protection contre les menaces, cliquez sur la stratégie assignée aux utilisateurs, ordinateurs ou serveurs que vous souhaitez vérifier.
    4. Cliquez sur Paramètres et faites défiler la liste jusqu’à Contrôle planifié.
    5. Sélectionnez Activer le contrôle planifié.

    6. Définissez une durée d’exécution du contrôle.

      Le contrôle exige que les appareils soient allumés et actifs.

    7. Assurez-vous que l’option Activer le contrôle en profondeur : contrôle dans les fichiers archive (.zip, .cab, etc.) est désactivée.

      Vous devez effectuer un contrôle complet pour indexer tous les fichiers. Ces paramètres supplémentaires ralentissent l’indexation ou peuvent empêcher le contrôle sur certains appareils.

  3. Une fois le contrôle intégral terminé, veuillez nettoyer l’infection avec Sophos Central Admin. Procédez de la manière suivante :

    1. Connectez-vous à Sophos Central.
    2. Allez dans Centre d’analyse des menaces > Recherche IA.

    3. Recherchez les emplacements d’injection de malwares.

      • C:\
      • C:\Windows
      • C:\Windows\System32
      • C:\Windows\Syswow64
      • C:\ProgramData
      • C:\Utilisateurs*<Nom d’utilisateur>*\AppData\Roaming*<nom aléatoire>*.

    4. Accédez à l’un de ces emplacements et cliquez sur Connexions réseau.

      Cette option limite la liste aux fichiers exécutables qui effectuent des connexions réseau. TrickBot ou Emotet tentent de se propager et doivent effectuer des connexions réseau.

    5. Recherchez les fichiers exécutables qui se démarquent ou dont vous n’êtes pas sûr.

    6. Pour chacun de ces fichiers, cliquez sur Générer un nouveau dossier Menace et Demande de renseignements les plus récents depuis le dossier Menace pour obtenir plus d’informations.
    7. Vérifiez les données et cliquez sur Nettoyer et bloquer si nécessaire.

    Si vous avez besoin de plus de renseignements sur un fichier, envoyez un échantillon comme indiqué sur Comment envoyer des échantillons de fichiers suspects à Sophos.

  4. Consultez les Dossiers menace et les Alertes pour voir les nouvelles détections et les détections récentes. Recherchez des signes de détection de TrickBot ou d’Emotet.

    • CXmal/Emotet-C
    • HPmal/Emotet-D
    • HPmal/TrikBot-G
    • Mal/EncPk-AN
    • HPmal/Crushr-AU
    • Troj/Inject-DTW
    • Troj/LnkRun-T
    • AMSI/Exec-P
    • Troj/Emotet-CJW

  5. Recherchez les détections suivantes :

    • Mal/Generic-R
    • Mal/Generic-S
    • ML/PE-A
    • Code Cave
    • Violation APC
    • Navigation sécurisée
    • LoadLib

  6. Répétez ce processus pour chaque fichier dans Recherches de menace.

  7. Nettoyez les fichiers infectés.
  8. Redémarrez tous vos appareils pour supprimer les infections en mémoire.
  9. Répétez ces étapes jusqu’à ce qu’il ne reste plus aucun signe de TrickBot ou d’Emotet.

Remédiation finale

Si vous continuez à recevoir des détections, il y a une infection sur un appareil de votre réseau.

Les infections TrickBot ou Emotet persistent dans un dossier et sous une forme « sans fichier ». Pour les corriger, vous devez réduire leur capacité à se répliquer dans les deux formes. Pour plus d’informations sur le fonctionnement de ce malware, consultez Résoudre les épidémies de malware Emotet et TrickBot.

Pour retrouver les appareils infectés restants, procédez comme suit :

  1. Répétez les étapes de ce flux de travail.

  2. Si vous ne trouvez pas la source de la détection, cliquez sur Centre d’analyse des menaces > Recherche par IA et vérifiez les emplacements où TrickBot ou Emotet a été trouvé.

    • C:\Windows<Un EXE nommé aléatoirement>
    • C:\windows\system32<Un EXE nommé aléatoirement>
    • C:\Windows\Syswow64<Un EXE nommé aléatoirement>
    • C:\stsvc.exe
    • C:\\Utilisateurs<nom d’utilisateur>\AppData\Roaming*<Un EXE nommé aléatoirement>*
    • C:\Utilisateurs<nom d’utilisateur>\AppData\Roaming<Dossier-Six-Lettres>
    • C:\ProgramData<EXE nommés aléatoirement>

  3. Lorsque vous trouvez le fichier exécutable qui évite la détection, vous pouvez Envoyer un échantillon.

  4. Si vous ne trouvez pas le fichier exécutable, contactez l’équipe Sophos MDR Rapid Response.

Vidéo de résolution des problèmes avec TrickBot ou Emotet

Cette vidéo aborde ce flux de travail.