Améliorer la sécurité de son PC : Bloquer des IP/Adresses

Statut
N'est pas ouverte pour d'autres réponses.

MaGneeTiiKz

Premium
Inscription
21 Décembre 2011
Messages
4 006
Réactions
1 108
Points
11 741
Hébergement de fichiers malicieux

Voici une capture qui montre l'infection d'un PC via un

BlockIP_infection.png


A gauche, Internet Explorer avec le site WEB en question.
A droite, ProcessExplorer nous montre qu'Internet Explorer a lancé l'exécution du fichier infectieux syst.exe
En haut, la fenêtre noire montre les connexions établies par le PC infecté :

Ci-dessous, un copier/coller du contenu de la fenêtre noire que nous pouvons visualiser dans la capture.
1204048472.089 1 192.168.1.50 TCP_MEM_HIT/200 1423 GET hxxp://1800-search.com/000/loader.exe - NONE/- application/octet-stream
1204048472.468 25 192.168.1.50 TCP_HIT/200 21470 GET hxxp://1800-search.com/000/dnlsvc.exe - NONE/- application/octet-stream
1204048473.118 1029 192.168.1.50 TCP_MISS/200 577 GET hxxp://2005-search.com/qt.php - DIRECT/85.255.117.212 application/x-quicktimeplayer
1204048473.939 402 192.168.1.50 TCP_MISS/301 687 GET hxxp://2005-search.com/test - DIRECT/85.255.117.212 text/html
1204048474.608 397 192.168.1.50 TCP_MISS/302 380 GET hxxp://www.2005-search.com/test/ - DIRECT/85.255.117.212 text/html
1204048475.009 400 192.168.1.50 TCP_MISS/302 385 GET hxxp://1800-search.com/000/r.php - DIRECT/85.255.117.213 text/html
1204048475.391 2 192.168.1.50 TCP_MEM_HIT/200 426 GET hxxp://search-buy.biz/total.dat - NONE/- text/plain
1204048475.841 396 192.168.1.50 TCP_MISS/301 687 GET hxxp://2005-search.com/test - DIRECT/85.255.117.212 text/html
1204048475.914 434 192.168.1.50 TCP_MISS/404 414 POST hxxp://activex.microsoft.com/objects/ocget.dll - DIRECT/64.4.52.169 text/html
1204048476.243 397 192.168.1.50 TCP_MISS/302 380 GET hxxp://www.2005-search.com/test/ - DIRECT/85.255.117.212 text/html
1204048476.471 434 192.168.1.50 TCP_MISS/404 580 POST hxxp://codecs.microsoft.com/isapi/ocget.dll - DIRECT/64.4.52.169 text/html
1204048476.645 397 192.168.1.50 TCP_MISS/302 385 GET hxxp://1800-search.com/000/r.php - DIRECT/85.255.117.213 text/html
1204048476.720 1204 192.168.1.50 TCP_MISS/302 377 GET hxxp://search-buy.biz/run.php? - DIRECT/85.255.117.213 text/html​


La visite du site WEB entraîne donc le téléchargement des fichiers loader.exe puis dnlsvc.exe qui compose l'infection.
Nous n'irons pas plus loin dans la description de cette infection (qui drop le rootkit msdirect.sys), ce qui nous intéresse ici ce sont les adresses où les fichiers composant cette infection sont hébergés, à savoir les domaines : 1008-search.com et 2005-search.com

Une recherche sur Google de ces adresses et donne environ 1500-2000 résultats.
Ce qui montre que ces adresses ne sont pas inconnues.

Les adresses IP de ces sites WEB sont 85.255.117.212 et 85.255.117.213.
La recherche de l'adresse réseau nous donne environ 54 000 résultats.

Dans les premiers résultats, on trouve un log de désinfection de forums américains
  • geektogo.com :
  • spywareinfo.com :
  • un post de 2005 sur informatruc.com avec une infection de type Wareout

Conclusion : Le réseau 85.255* est bien connu pour héberger des fichiers malicieux qui contribuent à l'infection de PC à grande échelle.
Et cela ne date pas d'hier.

En bloquant certains réseaux connus pour héberger des fichiers malicieux, il est donc possible d'améliorer de manière significative la sécurité de son PC puisque le téléchargement des fichiers infectieux ne sera plus possible.
Encore une fois, ce n'est pas la solution qui règle le problème puisqu'il existe une multitude de réseaux ou de machines hébergeant des fichiers malicieux.
Les adresses changent constamment.

Comment bloquer une IP ou un groupe d'IP (subnet) ?

Voici la procédure pour bloquer une IP ou un groupe d'IP. Nous allons utiliser les stratégies de sécurité d'IP.
Bien sûr, c'est une solution et il en existe d'autres. Par exemple, si vous possédez un pare-feu, il est tout à fait possible de le faire depuis ce dernier ou de le faire via votre routeur/box.

Les stratégies de sécurité d'IP sont souvent méconnues et disponibles sur Windows 2000, XP et Vista. Le gros avantage et qu'elles permettent de bloquer une ou plusieurs IP sans ajout de programmes supplémentaires.
Il est possible de bloquer une IP ou un groupe d'IP (subnet), la désactivation du blocage se fait facilement comme vous le verrez à la fin de ce paragraphe.
Enfin, cette méthode n'est pas incompatible avec la présence d'un pare-feu.


NOTE :Nous allons voir comment bloquer le sous-réseau 85.255, ce sont des adresses ukrainiennes, si vous devez surfer sur des sites hébergés dans ces régions, ne suivez pas ce tutorial sinon vous ne pourrez plus vous y connecter


Ouvrez les stratégies locales depuis le Menu Démarrer / exécuter et tapez secpol.msc puis cliquez sur OK
(sinon vous pouvez l'ouvrir par le panneau de configuration / outils d'administrations / stratégie de sécurités locales)

Dans la nouvelle fenêtre, à gauche, cliquez sur Stratégies de sécurités IP puis dans la partie droite de la fenêtre, faites un clic droit pour obtenir le menu déroulant comme ci-dessous.

BlockIP.png


Dans le menu déroulant, cliquez sur Créer une stratégie de sécurité IP
L'assistant de Stratégie de sécurités d'IP s'ouvre
Cliquez sur le bouton Suivant pour passer à l'étape suivante.
BlockIP2.png


Vous devez saisir le nom de la stratégie, dans le champ Nom, saisissez Lites de filtres IP
Décochez l'option en bas à droite Utiliser l'assistant d'ajout
BlockIP2_1.png


Décochez Activer la règle de réponse par défaut
Cliquez sur le bouton Suivant pour passer à l'étape suivante.

BlockIP3.png


Laissez l'option Modifier la propriété cochée puis cliquez sur le bouton Terminer
BlockIP4.png


Dans la nouvelle fenêtre, décochez l'option Utilisez l'assistant Ajout en bas à droite
Cliquez sur le bouton Ajouter
BlockIP5.png


Dans la nouvelle fenêtre, dans l'onglet Listes de filtres IP
Cliquez sur le bouton Ajouter
BlockIP6.png


Dans le champ Nom, saisissez Listes des IP à risques puis cliquez sur le bouton Ajouter
BlockIP7.png


Nous souhaitons bloquer les connexions depuis notre ordinateur vers un ou plusieurs IP.
Donc dans l'onglet adressage :
Dans Adresse source, sélectionnez Mon Adresse IP afin de bloquer toutes les connexions dont votre IP est la source.
Dans Adresse de destination, sélectionnez Un sous-réseau d'IP spécifique puisque nous souhaitons bloquer les connexions dont la destination est un groupe d'IP que nous allons spécifier - Dans le cas d'un blocage d'une IP unique choisir Adresse IP

Adresse IP : 85.255.0.0
Masque de sous réseau : 255.255.0.0

Les deux paramètres permettent de bloquer tous les adresses de 85.255.0.0 à 85.255.255.255

Par exemple, si nous voulions bloquer les adresses de 85.255.15.0 à 85.255.15.255, il aurait fallu indiquer dans :
Adresse IP : 85.255.15.0
Masque de sous réseau : 255.255.255.0

Cliquez sur OK.
BlockIP8.png


Maintenant que nous avons paramétré le filtre IP. Il convient de configurer l'action de filtrage qui sera appliquée sur le filtre IP.
Dans notre cas, nous souhaitons bloquer les dites adresses.

Cliquez sur l'onglet Action de filtrage puis décochez l'option Utilisez l'assistant Ajout en bas à droite
Cliquez sur le bouton Ajouter

BlockIP9.png


Dans l'onglet Méthode de sécurité, cochez Refuser

BlockIP10.png


Dans l'onglet Général, saisissez "Refuser" dans le champ Nom.
Validez par OK.
BlockIP11.png


Il ne nous reste plus qu'à appliquer nos paramètres.
Dans Action de filtrage, sélectionner Bloquer.

BlockIP12.png


Dans Listes des IP de filtres, assurez vous que vous avez bien sélectionné "Listes des IP à risques"
Validez par OK.
BlockIP13.png


Le filtrage n'est pas encore actif car la colonne Stratégie attribuée est configurée sur non.
Un clic droit sur Bloquer IP puis Attribuer permet de passer la stratégie sur oui.

Voici un exemple de stratégie sur non, la stratégie bloque l'IP 209.85.135.104 (une IP de Google).. le ping est possible puisque la stratégie n'est pas attribuée.
BlockIP15.png


En passant la stratégie sur oui, le ping ne passe plus.
Il est donc possible et ceci très facilement, d'activer ou désactiver le filtrage.
BlockIP16.png


Quelques réseaux à bloquer

Voici une listes de réseaux que vous pouvez bloquer afin de mieux sécuriser votre PC.
Pour les réseaux, j'indique les pays dans le cas où vous avez des contacts avec ses pays que vous ne pouvez les blacklister.
Le plus important est les .

Exploits sur des sites WEB
58.65.239.0/255.255.255.0 (Honk-Kong)

58.65.0.0/255.255.0.0 (HotFresh)
116.50.15.0/255.255.255.0 (HotFresh)
64.28.178.0/255.255.255.0 (Estonie)
64.28.179.0/255.255.255.0 (Estonie)
64.28.180.0/255.255.255.0 (Estonie)
64.28.181.0/255.255.255.0 (Estonie)
64.28.182.0/255.255.255.0 (Estonie)
64.28.183.0/255.255.255.0 (Estonie)
195.190.138.0/255.255.255.0
91.211.64.0/255.255.255.0 (Ural Industrial Company)
91.203.92.0/255.255.255.0 (Ukraine)

79.135.0.0/255.255.0.0 ( )
91.208.228.0/255.255.255.0
85.255.0.0/255.255.0.0 (Ukraine)
85.17.183.220/255.255.255.0 (leaseweb.com - NL)

94.247.0.0/255.255.0.0 (RU)
92.241.163.0/255.255.255.0 (RU)
94.232.249/255.255.255.0 (Ukraine)
Voir : + Exploits.

203.211.133.0/255.255.255.0 (Singapour)
203.211.136.0/255.255.255.0 (Singapour)

Les adresses suivantes concernent des programmes piégés ou des adresses ouvrants de , vous pouvez les bloquer mais ce n'est pas obligatoire. L'utilisation de permet de ne pas recevoir ces pubs ou fausses alertes.

Adwares et Rogues
194.187.0.0/255.255.0.0
195.225.0.0/255.255.0.0
195.93.218.0/255.255.255.0
195.95.0.0/255.255.0.0
202.71.102.0/255.255.255.0
205.177.0.0/255.255.0.0
205.188.0.0/255.255.0.0
213.189.27.0/255.255.255.0
216.195.0.0/255.255.0.0
216.239.0.0/255.255.0.0
66.230.0.0/255.255.0.0
66.235.0.0/255.255.0.0
69.31.0.0/255.255.0.0
69.50.0.0/255.255.0.0
70.84.0.0/255.255.0.0
72.21.53.0/255.255.255.0
78.129.158.0/255.255.255.0
78.129.166.0/255.255.255.0
79.143.178.0/255.255.255.0
81.9.3.0/255.255.255.0
81.95.0.0/255.255.0.0
82.179.0.0/255.255.0.0
88.255.74.0/255.255.255.0
89.149.226.0/255.255.255.0
87.242.90.0/255.255.255.0 (Russie) - IP utilisés par les sites propageant Magic.Control


Rogues liste voir
(Attention ce sont des IP unique, pensez à bien choisir dans le menu déroulant Adresse IP)
67.55.81.200/255.255.255.225
72.52.225.11/255.255.255.255
85.12.60.33/255.255.255.255
85.12.60.30/255.255.255.255
87.117.252.11/255.255.255.255
77.91.229.0/255.255.255.0 (malwarealarms.com) (russie)
124.217.252.0/255.255.255.0 (malwarealarm.com / bravesentry.com etc.)

SWF malicieux (Trojan-Downloader.SWF.Gida.a)
Pour plus d'infos sur SWF malicieux (Trojan-Downloader.SWF.Gida.a), lire : .

Vous pouvez bloquer les adresses suivantes, cependant, l'utilisation de permet de ne pas recevoir ces fausses alertes :
190.15.73.254/255.255.255.255
190.15.73.252/255.255.255.255
190.15.73.221/255.255.255.255
190.15.73.251/255.255.255.255
190.15.64.0/255.255.255.0
194.110.67.22/255.255.255.255

Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas












Source :
 

Slide™

Leader of vN™
Premium
Inscription
4 Avril 2012
Messages
4 289
Réactions
1 688
Points
3 968
Merci du partage, respect à ceux qui liront le pavé entièrement :)
 

MaGneeTiiKz

Premium
Inscription
21 Décembre 2011
Messages
4 006
Réactions
1 108
Points
11 741
De rien je partage pour le plaisir
pour que je vous aide & tout !


Allez bonne journée ! <3
 
Statut
N'est pas ouverte pour d'autres réponses.
Haut