Débusquer l'APT dans votre parc

Magazine
Marque
MISC
HS n°
Numéro
10
Mois de parution
octobre 2014
Domaines


Résumé

Comment détecter un attaquant à l'intérieur de votre réseau ? Cet article couvre l'examen des points terminaux, c’est-à-dire les serveurs et les stations de travail.


Votre téléphone sonne, seul « numéro inconnu » s'affiche, il est 18h30 et vous savez que ce n'est pas bon signe. Bingo, c'est votre autorité de tutelle qui vous informe que l'un des ordinateurs de votre société se connecte au serveur d'un groupe d'attaquants qui était surveillé.

1. La réponse sur incident

1.1 Élaborer une campagne de recherche

Vous raccrochez, avec à la clef, quelques marqueurs qui vous permettront de détecter les malwares sur votre parc informatique. Ces fameux « indicateurs de compromission » (IOC) sont en fait des traces que laisse l’exécution d’un programme sur un système (on parle également d'artefacts).

Ces marqueurs peuvent être variés : empreinte MD5, nom de named pipe, nom de mutex, clé de registre, nom de fichier, extension particulière, empreinte de la table des imports (imphash), chaîne de caractères singulière, etc.

1.2 Exploitation des marqueurs

1.2.1 Préparation, conception

Fort de ces informations,...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Introduction au dossier : Puces sécurisées - À la découverte de la sécurité matérielle

Magazine
Marque
MISC
Numéro
114
Mois de parution
mars 2021
Domaines
Résumé

Le grand public est familiarisé, ne serait-ce qu’inconsciemment, au concept de puce de sécurité de par l’usage quotidien et depuis de nombreuses années des cartes à puce dans le domaine bancaire ou des cartes SIM dans la téléphonie mobile. Des puces dédiées à la sécurité ont également fait leur apparition dans certains de nos équipements du quotidien (ordinateur portable, smartphone), qu’il s’agisse de microcontrôleur dédié disposant de fonctionnalités liées à la cryptographie (stockage de clef de chiffrement) tel un TPM, ou d’un mode d’exécution sécurisé intégré au processeur principal, à l’instar de SGX pour Intel, de TrustZone chez ARM et de PSP pour AMD.

Le Bruit de fond d'Internet

Magazine
Marque
MISC
Numéro
114
Mois de parution
mars 2021
Domaines
Résumé

Le nombre et la variété des ressources exposées sur Internet sont sans précédent. Leurs firmware ou OS sont, eux, très souvent des clones. Cette conjonction de facteurs ouvre de nombreuses opportunités pour les pirates.

Les protections des Secure Elements contre les attaques physiques

Magazine
Marque
MISC
Numéro
114
Mois de parution
mars 2021
Domaines
Résumé

Écrire du code sécurisé sans bug ni vulnérabilité n’est pas suffisant pour protéger un système contre des attaques matérielles. Les circuits sécurisés, ou Secure Elements, sont de vraies forteresses numériques capables de résister à des attaques évoluées, qui requièrent parfois des moyens colossaux. Que se cache-t-il derrière ces petites puces ?

Les environnements sécurisés

Magazine
Marque
MISC
Numéro
114
Mois de parution
mars 2021
Domaines
Résumé

De plus en plus de téléphones et d’objets connectés intègrent un mode d’exécution ou une puce dédiée à la sécurité. Entre les TEE, Secure Enclave, Titan, TPM, cryptoprocesseur, etc. il devient compliqué de s’y retrouver. Pourquoi cette multiplication des puces ? Est-ce vraiment plus sûr ? Cet article tente de répondre à ces questions.