Lundi matin, au siège d'une grande multinationale. La cellule de réponse à incidents est sur le pied de guerre : les membres du comité de direction ont reçu un malware par courriel. À première vue, rien de bien nouveau ni de méchant : recevoir un virus par mail est d'une banalité à pleurer et les logiciels antivirus installés sur les postes des destinataires ont bien fait leur boulot en interdisant l'infection. Seulement voilà, Aurora [1], GhostNet [2] et autres opérations Night Dragon [3] sont passées par là et ont mis les nerfs du RSSI à rude épreuve. Qui sait si derrière cet IRC-Bot/W32.BL-G38 ne se cache pas une version modifiée d'un password stealer destinée à voler les mots de passe des dirigeants de l'entreprise ? Le banker ZeuS n'a t-il pas servi à de tels agissements [4] ? Pour en avoir le cœur net, une analyse du malware est nécessaire.
1. Introduction
Il n'y a pas si longtemps encore, avant de se lancer dans le reverse de malware, il était nécessaire de sacrifier ses nuits sur d'obscurs forums pour glaner les dernières informations sur les undocumented features de Windows ou le packer dernier cri sorti de l'underground russophone. Il fallait aussi parler assembleur aussi bien sinon mieux que sa langue maternelle. Enfin, les chances de réussite de celui qui ne maîtrisait pas IDA Pro ni OllyDBG étaient plus que limitées.
Heureusement, il existe des outils qui permettent de mener des analyses sommaires mais suffisamment complètes sans avoir à tomber dans ces travers.
Nous allons voir dans la suite de cet article deux catégories d'outils :
- les outils accessibles en ligne et dont l'usage ne demande qu'une connexion internet et un navigateur ;
- les outils à installer en local.
Ces deux catégories ne sont pas concurrentes mais complémentaires.
Les outils en ligne apportent un gain de...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
