Des antivirus existent pour détecter certains programmes malveillants, cependant ils sont la plupart du temps inefficaces car ils n’ont pas été conçus pour détecter et stopper des programmes créés spécialement pour espionner votre société (programmes malveillants dits « zero day » qui sont de facto inconnus des solutions anti-virus).
Le seul moyen de détecter ces programmes spécialement conçus pour vous espionner est de se mettre dans la peau d’un analyste en sécurité et d’analyser chaque programme exécuté sur vos ordinateurs avec un regard critique.
Les programmes malveillants présents sur votre ordinateur peuvent être découverts de plusieurs manières. Nous vous présentons ci-dessous quelques techniques d’investigation permettant de détecter des programmes malveillants exécutés sur vos ordinateurs. La liste de ces techniques n’est toutefois pas exhaustive.
Détection et analyse des programmes inconnus :
Votre ordinateur exécute chaque jour des centaines de programmes. Ces programmes sont pour la plupart reconnus comme étant « sans risque » et de source « sures ». C’est le cas par exemple des programmes conçus par Microsoft ou bien par Symantec, etc.
Il s’agit de programmes qui ont été « signés » électroniquement par des éditeurs de logiciels reconnus et/ou des programmes pour lesquels l’emprunte (hash) est connue et validée comme étant « sans risque » par les solutions antivirus :
Un programme malveillant a rarement ces caractéristiques. Il convient donc d’ignorer ces programmes « connus » au début de l’analyse afin de concentrer les efforts d’analyse sur les programmes « inconnus » qui ont de plus grandes chances d’être malveillants.
En enlevant les programmes validés « sans risque » et/ou signés par des d’éditeurs réputés, nous sommes en mesure de réduire notre analyse aux programmes « inconnus » exécutés sur nos ordinateurs :
En enlevant les programmes validés « sans risque » et/ou signés par des d’éditeurs réputés, nous sommes en mesure de réduire notre analyse aux programmes « inconnus » exécutés sur nos ordinateurs :
Chaque programme « inconnu » devra être analysé de manière à détecter si son comportement est normal ou suspect. C’est ce que nous allons faire maintenant.
Analyse du contenu des scripts inconnus :
Voici un script VBS « inconnu » exécuté sur un ordinateur :
Est-ce que ce script est légitime ? Une analyse du code peut nous éclairer.
Analyse du comportement des programmes inconnus :
Programme « inconnu » exécuté sur un ordinateur :
Est-ce que ses caractéristiques et comportements sont suspects ?
Dans le doute il est important de faire des recherches sur internet et de s’informer auprès des personnes ayant configurés l’ordinateur.
Analyse des programmes connus mais ayant un comportement étrange :
Analyse de l’utilisation des programmes d’administration Microsoft :
Des programmes d’administration Microsoft connus tels que Powershell.exe, cmd.exe, ftp.exe, etc. peuvent être abusés par des hackers pour passer au travers des solutions antivirus. En effet, l’utilisation des outils d’administration Windows ne peut pas être interdite par des solutions anti-virus. Bloquer ces programmes casserait des fonctionnalités.
Par exemple, Powershell.exe peut être utilisé de manière malicieuse par un hacker afin d’exécuter des programmes malveillants en mémoire, voler des mots de passe :
Il convient d’analyser l’utilisation qui est faite de ces programmes sur votre ordinateur afin de s’assurer qu’aucune activité malicieuse n’a été réalisée avec.
Analyse des programmes uniquement présents en mémoire :
Est-ce que vos programmes bureautiques ou d’administration (navigateur web, Word, Excel, Putty.exe, etc.) exécutent des librairies chargées dynamiquement en mémoire ?
Cela peut être le signe qu’un de vos programmes a été exploité ou bien que vous vous êtes fait piégé et avez installé un programme d’apparence légitime mais contenant une porte dérobée (backdoor).
En effet, plusieurs techniques d’attaques permettent de charger directement en mémoire des programmes malicieux afin d’échapper aux solutions antivirus.
Ici Putty.exe (Client SSH dans lequel une backdoor « meterpreter » a été installée) exécute des librairies malicieuses directement en mémoire :
Une analyse du comportement des librairies uniquement présentes en mémoire permet de détecter ces attaques qui se déroulent uniquement en mémoire :
Détection des mécanismes de persistance :
Un hacker concevra ses programmes malveillants afin qu’ils puissent s’exécuter chaque matin lorsque l’ordinateur est allumé.
Pour détecter les programmes malveillants s’exécutant automatiquement lors du démarrage d’un ordinateur, il convient d’observer tous les programmes exécutés sur l’ordinateur via ces fonctionnalités Windows : Autoruns, services, tâches programmées, évènements WMI, etc.
Il sera ensuite important d'analyser chaque programme lancé automatiquement avec les techniques décrites précédemment.
Conclusion
Conclusion
Nous vous avons présenté un certain nombre de techniques permettant à un analyste en sécurité de détecter des programmes malicieux ou des hackers sur vos ordinateurs Windows. Cette liste n’est pas exhaustive mais est un bon début.
Ces mêmes techniques d’analyses existent pour les systèmes d’opérations Linux, MAC, Android, etc.
Pour aller plus loin :
Hunt Down and Kill Malware with Sysinternals Tools :
http://www.windowsecurity.com/articles-tutorials/viruses_trojans_malware/Hunt-Down-Kill-Malware-Sysinternals-Tools-Part1.html
http://www.windowsecurity.com/articles-tutorials/viruses_trojans_malware/Hunt-Down-Kill-Malware-Sysinternals-Tools-Part2.html
http://www.windowsecurity.com/articles-tutorials/viruses_trojans_malware/Hunt-Down-Kill-Malware-Sysinternals-Tools-Part3.html
https://www.rsaconference.com/writable/presentations/file_upload/hta-t07r-license-to-kill-malware-hunting-with-the-sysinternals-tools_final.pdf
Detecting Malware-Free Intrusions and Advanced Cyber Threats with Anomaly Detection and "Behavioral MD5" of Endpoint Processes :
http://info.prelert.com/blog/detecting-malware-free-intrusions-and-advanced-cyber-threats-with-anomaly-detection-and-behavioral-md5-of-endpoint-processes
Understanding Fileless Malware Infections
https://heimdalsecurity.com/blog/fileless-malware-infections-guide/
Memory-Only Malware: Look Mom, No Files! :
http://www.infosecisland.com/blogview/7571-Memory-Only-Malware-Look-Mom-No-Files.html
Des questions concernant cet article ?
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.
Vous pouvez aussi nous joindre à ce courriel :
info@oppidumsecurity.com
Ou nous parler via notre site internet :
https://oppidumsecurity.com/
Ces mêmes techniques d’analyses existent pour les systèmes d’opérations Linux, MAC, Android, etc.
Pour aller plus loin :
Hunt Down and Kill Malware with Sysinternals Tools :
http://www.windowsecurity.com/articles-tutorials/viruses_trojans_malware/Hunt-Down-Kill-Malware-Sysinternals-Tools-Part1.html
http://www.windowsecurity.com/articles-tutorials/viruses_trojans_malware/Hunt-Down-Kill-Malware-Sysinternals-Tools-Part2.html
http://www.windowsecurity.com/articles-tutorials/viruses_trojans_malware/Hunt-Down-Kill-Malware-Sysinternals-Tools-Part3.html
https://www.rsaconference.com/writable/presentations/file_upload/hta-t07r-license-to-kill-malware-hunting-with-the-sysinternals-tools_final.pdf
Detecting Malware-Free Intrusions and Advanced Cyber Threats with Anomaly Detection and "Behavioral MD5" of Endpoint Processes :
http://info.prelert.com/blog/detecting-malware-free-intrusions-and-advanced-cyber-threats-with-anomaly-detection-and-behavioral-md5-of-endpoint-processes
Understanding Fileless Malware Infections
https://heimdalsecurity.com/blog/fileless-malware-infections-guide/
Memory-Only Malware: Look Mom, No Files! :
http://www.infosecisland.com/blogview/7571-Memory-Only-Malware-Look-Mom-No-Files.html
Des questions concernant cet article ?
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.
Vous pouvez aussi nous joindre à ce courriel :
info@oppidumsecurity.com
Ou nous parler via notre site internet :
https://oppidumsecurity.com/
