Il est crucial de vérifier que son ordinateur est exempt de tout logiciel malveillant avant d'effectuer des opérations délicates en ligne telles que la consultation de sites bancaires, le trading ou le commerce.
Bien qu'il existe des antivirus pour détecter certains logiciels malveillants, ils sont souvent inefficaces car ils ne sont pas conçus pour détecter et arrêter les programmes spécialement créés pour espionner votre entreprise. Ces programmes malveillants, appelés « zero day », sont généralement inconnus des solutions antivirus.
Le seul moyen de détecter ces programmes spécialement conçus pour vous espionner est de se mettre dans la peau d’un analyste en sécurité et d’analyser chaque programme exécuté sur vos ordinateurs avec un regard critique.
Les programmes malveillants présents sur votre ordinateur peuvent être découverts de plusieurs manières. Nous vous présentons ci-dessous quelques techniques d’investigation permettant de détecter des programmes malveillants exécutés sur vos ordinateurs. La liste de ces techniques n’est toutefois pas exhaustive.
Détection et analyse des programmes inconnus :
Votre ordinateur exécute chaque jour des centaines de programmes. Ces programmes sont pour la plupart reconnus comme étant « sans risque » et de source « sures ». C’est le cas par exemple des programmes conçus par Microsoft ou bien par Symantec, etc.
Il s’agit de programmes qui ont été « signés » électroniquement par des éditeurs de logiciels reconnus et/ou des programmes pour lesquels l’emprunte (hash) est connue et validée comme étant « sans risque » par les solutions antivirus :
Un programme malveillant a rarement ces caractéristiques. Il convient donc d’ignorer ces programmes « connus » au début de l’analyse afin de concentrer les efforts d’analyse sur les programmes « inconnus » qui ont de plus grandes chances d’être malveillants.
En enlevant les programmes validés « sans risque » et/ou signés par des d’éditeurs réputés, nous sommes en mesure de réduire notre analyse aux programmes « inconnus » exécutés sur nos ordinateurs :
Chaque programme « inconnu » devra être analysé de manière à détecter si son comportement est normal ou suspect. C’est ce que nous allons faire maintenant.
Voici un script VBS « inconnu » exécuté sur un ordinateur :
Est-ce que ce script est légitime ? Une analyse du code peut nous éclairer.
Analyse du comportement des programmes inconnus :
Programme « inconnu » exécuté sur un ordinateur :
Est-ce que ses caractéristiques et comportements sont suspects ?
Dans le doute il est important de faire des recherches sur internet et de s’informer auprès des personnes ayant configurés l’ordinateur.
Des programmes d’administration Microsoft connus tels que Powershell.exe, cmd.exe, ftp.exe, etc. peuvent être abusés par des hackers pour passer au travers des solutions antivirus. En effet, l’utilisation des outils d’administration Windows ne peut pas être interdite par des solutions anti-virus. Bloquer ces programmes casserait des fonctionnalités.
Par exemple, Powershell.exe peut être utilisé de manière malicieuse par un hacker afin d’exécuter des programmes malveillants en mémoire, voler des mots de passe :
Il convient d’analyser l’utilisation qui est faite de ces programmes sur votre ordinateur afin de s’assurer qu’aucune activité malicieuse n’a été réalisée avec.
Est-ce que vos programmes bureautiques ou d’administration (navigateur web, Word, Excel, Putty.exe, etc.) exécutent des librairies chargées dynamiquement en mémoire ?
Cela peut être le signe qu’un de vos programmes a été exploité ou bien que vous vous êtes fait piégé et avez installé un programme d’apparence légitime mais contenant une porte dérobée (backdoor).
En effet, plusieurs techniques d’attaques permettent de charger directement en mémoire des programmes malicieux afin d’échapper aux solutions antivirus.
Ici Putty.exe (Client SSH dans lequel une backdoor « meterpreter » a été installée) exécute des librairies malicieuses directement en mémoire :
Une analyse du comportement des librairies uniquement présentes en mémoire permet de détecter ces attaques qui se déroulent uniquement en mémoire :
Détection des mécanismes de persistance :
Un hacker concevra ses programmes malveillants afin qu’ils puissent s’exécuter chaque matin lorsque l’ordinateur est allumé.
Pour détecter les programmes malveillants s’exécutant automatiquement lors du démarrage d’un ordinateur, il convient d’observer tous les programmes exécutés sur l’ordinateur via ces fonctionnalités Windows : Autoruns, services, tâches programmées, évènements WMI, etc.
Il sera ensuite important d'analyser chaque programme lancé automatiquement avec les techniques décrites précédemment.
Nous vous avons présenté un certain nombre de techniques permettant à un analyste en sécurité de détecter des programmes malicieux ou des hackers sur vos ordinateurs Windows. Cette liste n’est pas exhaustive mais est un bon début.
Des questions concernant cet article ?