Jump to content

Attaque DDOS


Twin

Recommended Posts

Bonjour,

 

J'ai un client qui c'est vu couper internet car des attaques DDOS vannent de son IP a été détecter.

Je suis intervenu pour désinfecter ensemble de ces machines, c'est un client régulier qui a bien souvent énormément de merde.

J'ai retirer plus de 10 000 infections, mais après avoir remis internet, sont opérateur recoupe.

Il y a toujours les attaques, je suis passer pour faire une "écoute" de tout ces PC avec Wireshark.

J'ai ce genre de log sur deux PC de façon régulière.

Je pense que c'est ce genre de chose qui pose problème.

Mais comment le neutraliser ?

 

Si vous avez une idée je prends :)

 

Merci d'avance

Capture.JPG

Link to comment
Share on other sites

Je suis pas un super fan de Tron car je trouve que t'en remettre à un script, alors que tu peux toi-même utiliser les même outils, est un peu ordinaire. Mais oui, cela peut être une option de dernier recours.

 

Comme Pyrithe l'a indiqué, si tu as de la misère à supprimer un infection, le nettoyage offline est une bonne option. J'ai toujours eu de bon résultat (et surtout rapide) avec le livecd de BitDefender mais il y a beaucoup d'autre option (kaspersky est une excellente option mais les updates durent une eternité).

 

Tu peux aussi prendre le temps de lire le reverse engineering de plusieurs version de ce malware sur s21: https://www.s21sec.com/en/blog/2016/05/reverse-engineering-gootkit/

cela pourrait p-e t'aider à trouver la source de l'infection et l'éradiqué. Ce site aussi semble indiqué que la source du problème provient principalement du registre: http://blog.cert.societegenerale.com/2015/04/analyzing-gootkits-persistence-mechanism.html

 

Bref, après tout ces problèmes, je ne crois pas que tu auras de la misère à vendre une combinaison de solution afin que cela ne se reproduise pas.

Link to comment
Share on other sites

Je suis aussi d'accord.

Mais il est aussi pratique de lancer ce genre d'outils lorsqu'on doit se pencher sur d'autres projets en parallèle! ;)

Il faut simplement au préalable étudier son fonctionnement.

Car il ne fait pas tout, et il est intéressant de finaliser, en fonction de ce qui a été fait, par d'autres outils.

 

En tous cas, sur ce malware précis, un coup de RogueKiller, puis Junkware Removale Tools, puis reboot sur un LiveCD Antivirus immédiatement après, analyse complète, puis lors du reboot un petit passage de MBAM, ca aurait du donner un résultat correct je pense :)

Link to comment
Share on other sites

Hello,

 

Merci pour vos retour, je suis passer pendant midi chez mon client, j'ai préparer hier soir une clé avec RogueKiller  et Tron.

Sur Tron j'ai désactiver tout (ou presque) j'ai privilégier la désinfection.

 

J'ai lancer RogueKiller sur les deux PC que j'ai repérer, il ma trouver sur un des deux un "XswKit". :)

Puis j'ai lancer Tron, je repasse chez mon client ce soir pour voir ou en est le script.

Link to comment
Share on other sites

Bonjour,

 

Je vous donne suite de ce dossier, le FAI à vivement conseiller mon client à fait un formatage (et non un nettoyage) pour être certain que l'attaque ne se reproduise pas.

Si c'était le cas, L'ANSSI demandera de couper à vie la connexion de ce client.

Donc mon client a décider de procéder à un formatage de tout sont matériels informatique.   

Link to comment
Share on other sites

Les FAI sont des gros blaireaux.

Quand on sait le boulot que c'est de réinstaller à neuf un pc, réinstaller les applis, etc...

En plus, il y a plein de risques : Oublier de récupérer des fichiers importants, réimporter des fichiers vérolés, etc...

 

Bref, ils feraient mieux de leur conseiller d'aller voir un prestataire informatique sérieux, et se contenter de faire leur job, au lieux de se prendre pour des supers informaticiens!

Link to comment
Share on other sites

Je suis entièrement d'accord avec toi, en plus ce n'est pas du tout le même tarif pour le client...

En plus j'ai envoyé les rapports ou on voit clairement que le XswKit à identifier et supprimer.

Mais je pense qu'ils ont la pression de L'ANSSI.

 

Link to comment
Share on other sites

×
×
  • Create New...