Analyse de documents malicieux : les cas PDF et MS Office

Magazine
Marque
MISC
HS n°
Numéro
3
Mois de parution
avril 2011
Domaines


Résumé

Les documents malicieux se sont énormément développés depuis ces dernières années. Très largement déployés et sujets à de multiples vulnérabilités, ils sont devenus un vecteur d'attaque de choix pour un attaquant. Bien que Microsoft et Adobe aient manifestement fait des efforts pour durcir la sécurité de leurs produits (recherche de vulnérabilités en amont, sandboxing, désactivation des macros par défaut, …), de nombreux postes utilisateurs ne sont pas mis à jour régulièrement et continuent d'utiliser des versions vulnérables.


1. Introduction

Nous nous focaliserons sur deux cas d'étude : les documents de la famille Microsoft Office et les documents PDF. Ces deux formats sont très complexes et ont été sujets à de multiples vulnérabilités par le passé.

Du point de vue de l'analyste, deux problématiques se posent naturellement :

1. Le document à analyser possède-t-il une charge malicieuse ?

2. Si oui, quelle est-elle et comment s'abstraire du format du document pour l'analyser ?

Pour y répondre, l'analyste doit d'une part comprendre le format de fichier utilisé par le document, et d'autre part se doter des outils adéquats qui lui éviteront d'avoir à réinventer la roue. Lors d'une analyse, il est de plus recommandé de travailler dans un environnement virtualisé. Aucun lecteur PDF ou Office ne doit être installé dans la machine virtuelle, afin d'éviter tout risque d'infection, en particulier à cause des extensions Shell : le payload d'un document pourrait effectivement...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Introduction au dossier : Télétravail : comment ne pas sacrifier la sécurité ?

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Le dossier du précédent numéro traitait du concept de « Zero Trust ». Le numéro actuel est en quelque sorte une suite logique : nous passons d’un idéal où l’accès distant est possible « par design », à une réalité où il a fallu faire des choix fonctionnels et être conciliant avec la sécurité.

Assurez l’intégrité de vos fichiers avec fs-verity

Magazine
Marque
Linux Pratique
HS n°
Numéro
48
Mois de parution
septembre 2020
Domaines
Résumé

Vous êtes-vous déjà demandé comment faire pour protéger des fichiers importants ? Votre système d’exploitation vous a-t-il déjà informé que vos fichiers étaient corrompus ? Pensez-vous souvent à l’intégrité des informations contenues dans vos fichiers ? Vous êtes tombé au bon endroit, nous découvrirons ici comment protéger vos données avec fs-verity.

Détection d'anomalies par ACP

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Retour de vacances. L’analyse du SIEM après un mois d’absence montre que dix incidents ont été déclenchés sur la base des alertes automatiques et ont pu être gérés convenablement par la chaîne de traitement d’incidents. Tout est-il sous contrôle ? Un analyste aimerait rapidement s’en assurer en complétant cette supervision par sa propre analyse du mois écoulé. Mais par où commencer ? Il est inenvisageable de regarder un mois de logs « rapidement » et d’autant plus quand on ne sait pas précisément ce que l’on cherche… Une solution possible est de recourir à des outils statistiques qui permettent d’identifier des périodes d’activité atypiques sur lesquelles concentrer son analyse. L’analyse en composantes principales (ACP ou PCA en anglais) est une méthode statistique qui peut répondre relativement efficacement à cette problématique. L’article présente cette méthode et son apport dans la détection d’anomalies, en prenant comme exemple l’analyse de flux réseaux.

Télétravail : une sécurité à repenser et une nouvelle organisation à encadrer

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Entre mode et nécessité, le télétravail nous oblige à repenser notre organisation du travail et les règles de sécurité associées. Comment mettre en place ces nouveaux modèles sans risque pour l’entreprise et ses salariés ?

Garder ses secrets avec Tomb

Magazine
Marque
Linux Pratique
HS n°
Numéro
48
Mois de parution
septembre 2020
Domaines
Résumé

Pour conserver des documents privés sur un disque dur ou un support amovible, il est nécessaire d'avoir recours au chiffrement. L'outil Tomb permet de manipuler simplement des répertoires chiffrés par le standard LUKS, pensé dans un d'esprit de confort et de mobilité.