Bonjour,
 
Lorsque vous subissez un virus ou un malware sur un ou plusieurs PC de votre infrastructure, quelles sont les techniques que vous utilisez pour retrouver les éléments qui ont permis au virus d'arriver à être exécuté ? en gros de remonter jusqu'à la source (clé USB, utiliser à double cliquer sur une pièce jointe etc etc...)
 
Pour un cas concret, j'ai eu un malware sur un PC d'un utilisateur et je me suis rendu compte que le chemin d'installation était C:\Program Files.
Or les utilisateurs n'ont pas de droits admin. Du coup, il a fallu que je retrouve la personne qui avait eu les droits admin a la date de la création du sous-dossier dans Program Files etc...
Et je n'arrive pas à retrouver quel logiciel a pu installer le malware (de type ads et non détecté par forefront...)
 
Merci

Au niveau des fichiers créés/modifiés, tu n'as pas le propriétaire affiché dans l'onglet sécurité ?

Tu regardes sur la console de l'antivirus les remontées des infections détectées.
Pour les droits, il est probable que le logiciel malveillant utilise des failles de logiciels pour obtenir les droits suffisants pour s'installer.

 
Je le regarde à chaque fois mais c'est toujours le groupe admin local qui s'affiche (je ne sais d'ailleurs pas pourquoi...)

 
Regarder dans la console, cela permet de cibler les noms des PC et les utilisateurs, ça c'est ok.
Mais après que faites vous pour en savoir plus ?
- s'il s'agit d'un virus récupéré d'une clé USB, on sait car le nom du lecteur nous permet de le dire (E:, F:...)
- s'il s'agit d'un virus par mail, comment faites vous à partir du PC pour le savoir ?
- s'il s'agit d'un virus par faille de sécurité, comment le déterminer sachant que nos postes sont à jour (théoriquement Windows update complet) ?
- s'il s'agit d'un virus par une page web infecté, comment le déterminer à partir du PC ?

s'il s'agit d'un mail, la console peut remonter l'alerte en indiquant qu'il s'agit d'un mail.
Si c'est une faille de sécurité, l'antivirus ne pourra pas remontée cette information.
Si c'est une page web infecté, cela va aussi remonté dans la console et de donner le nom du PC.
 
Je pense que tu dois utiliser des antivirus qui sont tous en mode autonome ?

J'utilise Forefront Endpoint Protection mais je ne pense pas avoir la remontée d'alerte s'il s'agit d'un mail...
Pour le site Web, effectivement j'avais pas penser mais il indique l'URL qui a déclenché le virus.
 
J'ai une console de management SCCM de Forefront .
 
Il existe un autre cas : les virus non détectés par l'antivirus.
Dans ce cas, comment remonter à la source de l'infection ?

pour le tracking sous ntfs :
http://www.eventlogxp.com/fra/ ou http://www.systoolsgroup.com/ntfs-log-analyzer.html
 
Sinon perso et par rapport une  conf de sécu vu sur le thème :
 
tout le tracking d'une attaque se fait par les logs, quelle qu'en soit la source.
d'ou le faites qu'il faut absolument maitrisé sa chaine fonctionnelle (cad héberger son propre serveur mail, son propre serveur web, son propre ngfw utm...)
 
et pour éviter un travail fastidieux de regroupement il est preferable d'utiliser un centraliseur de log comme graylog2 ou un stack  ELK.
 
qui permet de faire des recherche rapide a travers tout les log d'un S.I. (des postes de travail, jusqu'au routeur, serveur...), du coup on peut tracer une activité reseaiu entiere sur un timing precis concernnat un poste precis et surtout évite que la suppression de log locaux fasse disparaitre les traces.
 
 
 

Je ne suis pas sûr de Forefront Endpoint Protection que soit parmi les meilleurs antivirus.
Je me dirigerai plus les anti-virus en haut du tableau d'av-test.
Ils vont proposer plus d'options au niveau de centralisation des informations et niveau de la sécurité.
 
Si jamais la menace n'est pas détecté par l'analyse en temps réel, tu lances une analyses manuelles de tous les postes.
Certaines menaces (ex:rootkit) ne peuvent pas ou difficilement être détectées par l'analyse en temps réel.
 

 
Même si y'a toutes les infos et un centraliseur de log, ça reste une opération fastidieuse à faire....
D'autres astuces sinon ?