⚔ Se protéger des certificats numériques falsifiés pour paraître légitimes avec installation de backdoors ou de rootkits sur Windows
Introduction
Les certificats numériques falsifiés peuvent être utilisés pour installer des logiciels malveillants, tels que des backdoors ou des rootkits, en paraissant légitimes. Ce tutoriel vous explique comment protéger votre système Windows contre ces attaques en surveillant et vérifiant les certificats, en restreignant l'installation de logiciels non approuvés, et en utilisant des outils de sécurité spécialisés.
Prérequis
• Accès administrateur sur le système Windows.
• Connaissance des commandes PowerShell pour gérer les certificats.
• Un logiciel antivirus ou EDR (Endpoint Detection and Response) actif.
• Outils pour gérer les stratégies de groupe, si nécessaire.
Méthodologie
Introduction
• Nous utiliserons trois approches :
• Méthode 1 : Vérification et suppression des certificats numériques non valides.
• Méthode 2 : Restriction de l’installation de logiciels avec des stratégies de groupe.
• Méthode 3 : Surveillance proactive des modifications de certificats et des logiciels installés.
Avantages
Avantage de la méthode 1 : Élimine les certificats malveillants déjà installés.
Avantage de la méthode 2 : Empêche l’installation de logiciels non approuvés à l’aide de certificats falsifiés.
Avantage de la méthode 3 : Surveille les activités liées aux certificats et aux logiciels pour détecter les anomalies en temps réel.
Inconvénients
Inconvénient de la méthode 1 : Nécessite une vérification régulière des nouveaux certificats installés.
Inconvénient de la méthode 2 : Peut bloquer des applications légitimes mal configurées.
Inconvénient de la méthode 3 : Les outils spécialisés peuvent générer des alertes excessives ou être coûteux.
⚙ Étapes à suivre pour la méthode 1
• Listez les certificats installés à l’aide de PowerShell :
• Identifiez les certificats suspects en vérifiant leur émetteur et leur date d’expiration.
• Supprimez un certificat non valide :
• Remplacez "ThumbprintCertificat" par l’empreinte numérique du certificat concerné.
• Vérifiez les logiciels installés avec des certificats non valides :
Pour de plus amples informations
• Gestion des certificats sur Windows
⚙ Étapes à suivre pour la méthode 2
• Configurez des stratégies pour bloquer l’installation de logiciels non approuvés via gpedit.msc :
Accédez à Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de restriction logicielle.
Activez Interdire l’exécution des logiciels non approuvés.
• Limitez l’exécution aux fichiers signés uniquement avec des certificats approuvés :
• Bloquez des programmes spécifiques à l’aide du pare-feu Windows :
Pour de plus amples informations
• Stratégies de restriction logicielle
⚙ Étapes à suivre pour la méthode 3
• Installez Sysmon pour surveiller les modifications des certificats et des logiciels :
• Configurez Sysmon pour enregistrer les événements liés aux certificats :
• Analysez les journaux générés par Sysmon pour identifier des anomalies :
• Utilisez un EDR pour bloquer automatiquement les certificats suspects ou non approuvés.
Pour de plus amples informations
• Documentation Sysmon
Astuce
Activez l’option SmartScreen dans Windows pour bloquer les fichiers ou logiciels provenant de sources non vérifiées.
Pour de plus amples informations
• Documentation sur SmartScreen
Mise en garde
La suppression d’un certificat légitime ou la restriction excessive des stratégies peut causer des problèmes de compatibilité pour les applications. Vérifiez chaque modification avec soin.
Conseil
Mettez à jour votre système Windows régulièrement pour limiter les vulnérabilités liées à des certificats compromis ou obsolètes.
Pour de plus amples informations
• Mises à jour de sécurité Windows
Solution alternative
Utilisez Windows Defender Application Control (WDAC) pour définir des politiques strictes sur l’exécution des fichiers avec certificats approuvés.
Pour de plus amples informations
• Documentation WDAC
Conclusion
En suivant ces étapes, vous renforcerez la sécurité de votre système Windows contre les certificats numériques falsifiés. La combinaison de stratégies restrictives et d’une surveillance proactive est essentielle pour prévenir ces attaques.
Source : Tutoriaux-Excalibur, merci de partager.
IntroductionLes certificats numériques falsifiés peuvent être utilisés pour installer des logiciels malveillants, tels que des backdoors ou des rootkits, en paraissant légitimes. Ce tutoriel vous explique comment protéger votre système Windows contre ces attaques en surveillant et vérifiant les certificats, en restreignant l'installation de logiciels non approuvés, et en utilisant des outils de sécurité spécialisés.
Prérequis• Accès administrateur sur le système Windows.
• Connaissance des commandes PowerShell pour gérer les certificats.
• Un logiciel antivirus ou EDR (Endpoint Detection and Response) actif.
• Outils pour gérer les stratégies de groupe, si nécessaire.
Méthodologie Introduction• Nous utiliserons trois approches :
• Méthode 1 : Vérification et suppression des certificats numériques non valides.
• Méthode 2 : Restriction de l’installation de logiciels avec des stratégies de groupe.
• Méthode 3 : Surveillance proactive des modifications de certificats et des logiciels installés.
Avantages Avantage de la méthode 1 : Élimine les certificats malveillants déjà installés. Avantage de la méthode 2 : Empêche l’installation de logiciels non approuvés à l’aide de certificats falsifiés. Avantage de la méthode 3 : Surveille les activités liées aux certificats et aux logiciels pour détecter les anomalies en temps réel. Inconvénients Inconvénient de la méthode 1 : Nécessite une vérification régulière des nouveaux certificats installés. Inconvénient de la méthode 2 : Peut bloquer des applications légitimes mal configurées. Inconvénient de la méthode 3 : Les outils spécialisés peuvent générer des alertes excessives ou être coûteux.⚙ Étapes à suivre pour la méthode 1
• Listez les certificats installés à l’aide de PowerShell :
Code:
Get-ChildItem -Path Cert:\LocalMachine\Root | Format-List• Identifiez les certificats suspects en vérifiant leur émetteur et leur date d’expiration.
• Supprimez un certificat non valide :
Code:
Remove-Item -Path "Cert:\LocalMachine\Root\ThumbprintCertificat"• Remplacez "ThumbprintCertificat" par l’empreinte numérique du certificat concerné.
• Vérifiez les logiciels installés avec des certificats non valides :
Code:
Get-AuthenticodeSignature -FilePath "CheminDuFichier"• Gestion des certificats sur Windows
⚙ Étapes à suivre pour la méthode 2
• Configurez des stratégies pour bloquer l’installation de logiciels non approuvés via gpedit.msc :
Accédez à Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de restriction logicielle.
Activez Interdire l’exécution des logiciels non approuvés.
• Limitez l’exécution aux fichiers signés uniquement avec des certificats approuvés :
Code:
Set-ExecutionPolicy AllSigned• Bloquez des programmes spécifiques à l’aide du pare-feu Windows :
Code:
New-NetFirewallRule -DisplayName "BlocageAppSuspecte" -Program "C:\Chemin\Vers\App.exe" -Action Block• Stratégies de restriction logicielle
⚙ Étapes à suivre pour la méthode 3
• Installez Sysmon pour surveiller les modifications des certificats et des logiciels :
Code:
choco install sysmon• Configurez Sysmon pour enregistrer les événements liés aux certificats :
Code:
sysmon -i config.xml• Analysez les journaux générés par Sysmon pour identifier des anomalies :
Code:
Get-WinEvent -LogName Microsoft-Windows-Sysmon/Operational | Select-String "Certificate"• Utilisez un EDR pour bloquer automatiquement les certificats suspects ou non approuvés.
Pour de plus amples informations• Documentation Sysmon
AstuceActivez l’option SmartScreen dans Windows pour bloquer les fichiers ou logiciels provenant de sources non vérifiées.
Pour de plus amples informations• Documentation sur SmartScreen
Mise en gardeLa suppression d’un certificat légitime ou la restriction excessive des stratégies peut causer des problèmes de compatibilité pour les applications. Vérifiez chaque modification avec soin.
ConseilMettez à jour votre système Windows régulièrement pour limiter les vulnérabilités liées à des certificats compromis ou obsolètes.
Pour de plus amples informations• Mises à jour de sécurité Windows
Solution alternativeUtilisez Windows Defender Application Control (WDAC) pour définir des politiques strictes sur l’exécution des fichiers avec certificats approuvés.
Pour de plus amples informations• Documentation WDAC
ConclusionEn suivant ces étapes, vous renforcerez la sécurité de votre système Windows contre les certificats numériques falsifiés. La combinaison de stratégies restrictives et d’une surveillance proactive est essentielle pour prévenir ces attaques.
Source : Tutoriaux-Excalibur, merci de partager.
