Démantèlement du botnet Qakbot

Bycyber

 Démantèlement du botnet Qakbot CVE-2023-CTI-006

محتويات التنبيه:

– جدول معلومات

– المخاطر

– الأنظمة المثأثرة

– ملخص حول الثغرة

– الحلول

– المصادر

 

معلومات :
المرجع CVE-2023-CTI-006
العنوان Démantèlement du botnet Qakbot
تاريخ الاصدار الأول 18 septembre 2023
تاريخ أخر تحديث 15 septembre 2023
المصادر
المرفقات Aucune(s)

 

المخاطر:
  • Identifier la machine, poste de travail ou serveur, potentiellement concernée ;
  • En cas de doute, considérer la machine comme infectée ;
  • Inventorier les secrets d’authentification (mots de passe ou clés privées de comptes Windows, Linux, VPN, messagerie, applicatifs métiers, etc.) utilisés ou conservés sur la machine concernée, ainsi que les droits dont disposent ces comptes dans le reste du système d’information (permissions Active Directory notablement).
الأنظمة المثأثرة:
  • Isoler la machine compromise du système d’information ;
  • Si un dépôt de plainte ou des investigations sont envisagés, conserver la machine isolée du système d’information ;
  • Remplacer la machine compromise par une machine neuve ou réinstallée ;
  • Changer les secrets d’authentification utilisés sur la machine durant sa compromission.
ملخص الثغرة:

Le Bureau fédéral d’enquête américain (FBI) a effectué le 26 août 2023 une opération de démantèlement et de désinfection du réseau de machines zombies ou botnet Qakbot (aussi appelé Qbot), en lien avec les autorités allemandes, néerlandaises, britanniques et françaises.
الحلول من هده الثغرة:

En France, l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC) et la section J3 Cybercriminalité du parquet de Paris ont participé à l’opération. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a apporté son soutien à l’opération en participant à l’identification et à la notification des victimes sur le périmètre français.
المصادر:
  • Prévenir les exécutions depuis des répertoires inscriptibles par les utilisateurs tels que les répertoires temporaires et personnels (en utilisant des composants intégrés à Windows tels que AppLocker, Software Restriction Policies, ou Windows Defender Application Control) ;
  • Prévenir les communications directes entre postes de travail (par exemple au moyen du pare-feu intégré à Windows, du mécanisme de Private VLAN des commutateurs réseaux, ou de configuration des concentrateurs VPN si les postes sont toujours connectés en VPN) ;
  • Supervision renforcée :
    • Détecter les exécutions depuis les répertoires inscriptibles par l’utilisateur non privilégié ;
    • Porter une attention renforcée aux alertes EDR ;
    • S’assurer de la couverture de déploiement de l’antivirus et/ou de l’EDR et de la mise à jour de leurs définitions anti-virales.
Print 🖨 PDF 📄 eBook 📱

Similar Posts

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *