Un petit point pour les francophones, pour ceux qui ont maille à partir avec ZBot/ZeuS.
Quelques rappels :
- ZBot utilise dans beaucoup de variantes le %appdata%, là où tout utilisateur a le droit en écriture et lecture
- ZBot se propage par des failles de sécurité applicatives, notamment Oracle Java et Acrobat Reader.
- ZBot peut se propager via les services de Bureau à distance (RDS) : une machine cliente infectée peut infecter un serveur en s'y connectant en RDS
Plan d'action ?
- revoir vos inventaires logiciels : il vous faut savoir les versions de logiciels qui sont présents : navigateurs, mais aussi Oracle Java, et Acrobat Reader, etc.
- Déployer au maximum possible les mises à jour de sécurité, et pas uniquement celles de Microsoft. Un antivirus n'est pas là pour pallier à la non application des correctifs ! Cibler en priorité les postes d'administration du parc et les machines critiques. Pour rappel, Java 6 n'est plus supporté par Oracle depuis février 2013.
- S'assurer de la présence et de la mise à jour d'un antivirus sur tous les environnements Windows connectés au LAN
- Soumettre à votre éditeur antivirus tout échantillon trouvé et non détecté
- Lancer un nettoyeur sur le parc : au minimum le MSRT (Malicious Software Removal Tool) qui a d'ailleurs été mis à jour ce mois-ci pour ZBot d'après mes tests, voire si possible le MSERT (Safety Scanner, qui peut se scripter). Toutes les stations d'administration devraient être vérifiées avec un outil supplémentaire que l'antivirus déjà présent.
- Vérifier vos équipements proxies, sondes NIPS, pare-feux, pour toute détection pouvant s'apparenter à du trafic ZBot : infection initale, remontée au C&C, voire exfiltration des données volées.
- prendre connaissance des fiches descriptives de ZBot, telles que publiées par les éditeurs antiviraux, pour les souches détectées sur votre parc. Exemple : http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Win32%2fZbot . Ces caractéristiques techniques des variantes doivent impérativement être prises en compte pour affiner votre plan d'action de réponse à la menace virale. Il y est notamment dit que les codes d'exploitation suivants sont connus pour être utilisés afin d'implanter ZBot sur les machines : Exploit:Java/CVE-2012-0507, Exploit:Java/CVE-2012-1723, Exploit:Java/CVE-2013-0422, Exploit:Win32/Pdfjsc. Exploit:Win32/CplLnk.B. Je peux attester que c'est le cas !
- redémarrer les machines infectées après détection afin d'être sûr de l'éradication en mémoire.
- utiliser des doubles facteurs d'authentification pour les comptes administrateurs : ZBot intercepte les frappes au clavier, or la carte à puce protège contre ce type d'attaque (et non pas contre le pass the hash, par défaut...).
- renforcer la surveillance réseau en ajoutant des éléments caractéristiques à ZBot, en alerte voire en blocage : https://zeustracker.abuse.ch/blocklist.php
Bon courage :)
Mise à jour du 23/07/13 :
Petit exemple de courriels indésirables reçus plus d'une fois, et contenant un ZBot en pièce jointe :
Et petite confirmation :
