Détection et classification de malwares par Yara

Magazine
Marque
MISC
Numéro
65
|
Mois de parution
janvier 2013
|
Domaines


Résumé
Lorsque l’on évoque des signatures d’attaques d’un système d’information via des malwares, il est naturel de penser à des détections basées sur le réseau. La sophistication atteinte par certains malwares et autres outils actuels de prise de contrôle à distance impose cependant de mettre en place des mécanismes de détection complémentaires. Ces derniers se basent sur une corrélation d’informations provenant aussi bien du réseau que des équipements qui le peuplent. Le format IOC (Indicator Of Compromise), vu dans le numéro précédent de MISC, permet de créer de telles signatures.Pour compléter ce format, il existe un système basé uniquement sur la détection de binaires, Yara.Yara permet de détecter des malwares ainsi que des outils d’attaques, que ce soit lors d’opérations de réponse à incident de sécurité informatique ou lors de contrôles récurrents du système d’information.

La suite est réservée aux abonnés. Déjà abonné ? Se connecter

Sur le même sujet

OpenStack et la gestion des vulnérabilités

Magazine
Marque
MISC
Numéro
107
|
Mois de parution
janvier 2020
|
Domaines
Résumé

La communauté OpenStack s’est dotée d’un processus de traitement des vulnérabilités rigoureux, permettant de corriger au plus vite les anomalies découvertes. Dans cet article, nous aborderons le fonctionnement d’OpenStack et le processus de correction de vulnérabilités. Nous terminerons par l’explication et la reproduction d’une vulnérabilité révélée en janvier 2019.

Gérez, protégez et partagez vos mots de passe avec KeePassXC

Magazine
Marque
Linux Pratique
Numéro
117
|
Mois de parution
janvier 2020
|
Domaines
Résumé

Nous stockons de nombreuses informations, pour beaucoup sensibles, et dans des formats différents. Cela fait autant de mots de passe à créer, à retenir et à utiliser. À utiliser pour souvent quotidiennement, il faut donc que leur utilisation soit la plus transparente possible et s’adapte aux différents services clients : données sur une partition chiffrée, site internet, client d’une application bancaire, application en ligne de commandes. Vous utilisez peut-être déjà une extension web pour les sites web : c’est bien, mais cela ne gère pas tous vos besoins en mots de passe, mots de passe qui sont peut-être gérés par une société tierce sur leurs serveurs lorsque vous les rentrez dans l’extension. Dans cet article, nous allons découvrir KeePassXC, un gestionnaire de mots de passe libre qui vous permettra de répondre à tous types de besoins et de ne pas partager vos mots de passe avec une société tierce.

Introduction au dossier : Ransomwares : état de la menace

Magazine
Marque
MISC
Numéro
107
|
Mois de parution
janvier 2020
|
Domaines
Résumé

Il ne se passe plus un mois sans qu’un ransomware ne touche une entreprise ou administration publique et que cette dernière se retrouve dans une situation délicate, au point que cela atterrisse invariablement dans les colonnes de nos quotidiens (oui bon, dans les bandeaux des chaînes d’information continue). On pourrait simplement dire que l’histoire se répète, qu’il s’agit d’un énième malware qui touche des infrastructures qui ne sont pas à jour, mal configurées, et que tout cela était inéluctable.

Utilisation de services en ligne légitimes par les malwares

Magazine
Marque
MISC
Numéro
107
|
Mois de parution
janvier 2020
|
Domaines
Résumé

Les fraudes sur Internet, qu’elles suivent une motivation financière ou autre, nécessitent généralement de l’ingénierie sociale, ou l’utilisation de malwares. Ces derniers sont plus ou moins furtifs au niveau de leur comportement sur le poste de travail infecté, mais aussi lors de leurs communications sur le réseau avec leur contrôleur, ou serveur de « command and control » (C2). Voulant rendre leur trafic moins détectable, certains cybercriminels ont misé sur l’utilisation de plateformes et services légitimes en ligne. Bien que cette méthode ne soit pas nouvelle en soi, elle tend à être de plus en plus utilisée depuis quelques années.

Par le même auteur

Utilisation de services en ligne légitimes par les malwares

Magazine
Marque
MISC
Numéro
107
|
Mois de parution
janvier 2020
|
Domaines
Résumé

Les fraudes sur Internet, qu’elles suivent une motivation financière ou autre, nécessitent généralement de l’ingénierie sociale, ou l’utilisation de malwares. Ces derniers sont plus ou moins furtifs au niveau de leur comportement sur le poste de travail infecté, mais aussi lors de leurs communications sur le réseau avec leur contrôleur, ou serveur de « command and control » (C2). Voulant rendre leur trafic moins détectable, certains cybercriminels ont misé sur l’utilisation de plateformes et services légitimes en ligne. Bien que cette méthode ne soit pas nouvelle en soi, elle tend à être de plus en plus utilisée depuis quelques années.

Business e-mail compromise

Magazine
Marque
MISC
Numéro
87
|
Mois de parution
septembre 2016
|
Domaines
Résumé
Les fraudes ayant cours en matière de cybercriminalité sont en constante évolution. Alors qu’en ce moment nous vivons sous l’explosion médiatique générée par les rançongiciels (ransomwares), d’autres types de fraudes relativement récentes sont beaucoup plus lucratives pour certains cybercriminels. De plus, elles demandent moins de moyens afin de gagner des montants qui se chiffrent généralement en centaines de milliers, voire en millions d’euros. Il s’agit des escroqueries appelées « business e-mail compromise » outre-Manche.

Simulation d’attaque APT

Magazine
Marque
MISC
Numéro
86
|
Mois de parution
juillet 2016
|
Domaines
Résumé
Les audits de sécurité et les tests de pénétration ont toujours été nécessaires afin de connaitre les failles/vulnérabilités exploitables/problèmes d’architecture les plus importants dans les réseaux des entreprises et autres entités disposant de nombreuses machines. Néanmoins, cela ne semble plus suffisant auprès de certains décideurs, qui souhaitent maintenant savoir s’ils sont vulnérables à des attaques ciblées, également appelées APT (Advanced Persistent Threat). Quelle est la différence avec un audit traditionnel ? Pourquoi ce service ? En quoi consiste-t-il ? Autant de questions auxquelles nous allons nous efforcer de répondre dans cet article.

APT – Qui sont les attaquants ?

Magazine
Marque
MISC
Numéro
85
|
Mois de parution
mai 2016
|
Domaines
Résumé
De nombreuses publications détaillent le mode opératoire des attaques APT (Advanced Persistent Threat), ces attaques qui ciblent des entités diverses et variées afin de leur dérober leurs propriétés intellectuelles ou encore de les espionner. Ces attaques suivent généralement le même schéma connu et reconnu. Par contre, peu d’informations sont disponibles sur les attaquants. Certains chercheurs exposent des identités réelles d’attaquants, mais cela ne fournit pas forcément d’information sur les différents profils présents dans les groupes APT. Le but de cet article est de fournir une vue plus précise sur les profils composant ces groupes d’attaquants, ainsi que la façon dont ils sont structurés.

APT 101

Magazine
Marque
MISC
Numéro
79
|
Mois de parution
mai 2015
|
Domaines
Résumé
Depuis quelque temps, pas une semaine ne semble passer sans qu’il n’y ait un article, un billet de blog, ou un white paper sur le sujet des APT, que ce soit pour décrire des campagnes d’attaque, des groupes d’attaquants, analyser des malwares dédiés à ces attaques, ou malheureusement faire du marketing à peu de frais. Cependant, force est de constater que même les professionnels de l’IT sont parfois victimes de méconnaissances ou d’idées reçues sur cette problématique. Le but de cet article est donc d’exposer brièvement les premières bases de connaissance d'une attaque APT, son mode opératoire, et de définir un peu plus les différences entre compromissions classiques et APT.

Forensics : La compatibilité à la rescousse

Magazine
Marque
MISC
Numéro
68
|
Mois de parution
juillet 2013
|
Domaines
Résumé
Le domaine de l’inforensique est en perpétuelle évolution. Les systèmes d’exploitation changent, sont mis à jour, sont modifiés. Il en va de même pour les logiciels et le comportement des usagers. Cet ensemble en constante mouvance génère une charge de travail importante pour l’investigateur numérique, qui doit perpétuellement se maintenir à jour de ses connaissances.Parmi ces dernières, l’une des plus importantes est celle des différentes ruches de la base de registre des systèmes d’exploitation Windows. Elle constitue l’un des viviers les plus intéressants pour l’analyste, mais probablement le plus dense et le plus complexe.À l’intérieur de cette base se trouvent des milliers d’entrées, certaines plus obscures que d’autres. Parmi ces dernières, il en existe un certain nombre permettant de savoir si un binaire a été exécuté ou non. L’AppCompatCache en est un, qui n’est pas forcément très connu car peu documenté.