Attaques

Malware et persistance

Un malware cherche souvent à s'exécuter, survivre au redémarrage, communiquer, voler, chiffrer, espionner ou faciliter un accès futur. L'analyse doit rester prudente : on observe, on isole et on préserve les preuves.

Objectifs possibles

Un malware peut viser :

  • vol d'identifiants
  • espionnage
  • chiffrement de données
  • rebond vers d'autres machines
  • installation d'un accès distant
  • exfiltration
  • sabotage
  • utilisation de ressources

Le comportement réel compte plus que le nom donné par un antivirus.

Phases courantes

Exécution

L'exécution peut venir d'une pièce jointe, d'un script, d'une macro, d'un binaire, d'une dépendance compromise, d'un service exposé ou d'un compte déjà compromis.

Persistance

La persistance permet au malware de revenir après redémarrage ou reconnexion.

Mécanismes fréquents :

  • services
  • tâches planifiées
  • clés de registre
  • dossiers de démarrage
  • extensions navigateur
  • comptes créés
  • scripts de connexion
  • modifications de configuration

Command and control

Le malware peut contacter une infrastructure externe via HTTP, DNS, TLS ou protocoles détournés.

Indices possibles :

  • domaines récents
  • flux répétitifs
  • connexions vers destinations inhabituelles
  • User-Agent étrange
  • volume sortant anormal

Traces à rechercher

Sur une machine suspecte, regarde :

  • processus inconnus
  • services récents
  • tâches planifiées
  • connexions réseau
  • fichiers créés récemment
  • modifications de registre
  • alertes EDR ou antivirus
  • journaux d'authentification
  • erreurs ou redémarrages inhabituels

Réflexes d'analyse

Actions prudentes :

  • isoler la machine
  • capturer les journaux
  • relever les connexions
  • calculer les empreintes de fichiers
  • identifier les modifications récentes
  • préserver les fichiers suspects
  • éviter d'exécuter l'échantillon
  • documenter les heures et actions

Prudence

N'exécute jamais un échantillon inconnu sur ton poste normal. Utilise un environnement isolé, autorisé et prévu pour l'analyse.

Défense

  • maintenir les systèmes à jour
  • limiter les droits utilisateur
  • surveiller les mécanismes de persistance
  • centraliser les logs
  • utiliser un EDR ou antivirus maintenu
  • bloquer les macros inutiles
  • protéger les sauvegardes
  • former les utilisateurs au phishing

À retenir

Un malware se comprend par ses effets : exécution, persistance, communication, actions sur les données et traces laissées.

Précédent
Phishing AITM
Suivant
Active Directory