Cet article propose un aperçu du travail d'une équipe de réponse sur incidents. L’idée est ici de donner à voir la façon dont travaille cette équipe, de la découverte ou réception d’un exploit « 0-day », jusqu’à la mise au point d’une détection.
1. Contexte
L'équipe dont il est question ici travaille dans un cadre singulier, le point essentiel de cette particularité étant qu'elle n'est pas en charge d’un parc de machines.
L'équipe travaille en autonomie ou bien est commissionnée pour analyser des vulnérabilités de type « 0-day », c’est-à-dire des vulnérabilités n’ayant pas encore été corrigées. Ces mêmes vulnérabilités, suivant le type de capture, parviennent à l’équipe sous forme « weaponisée » (contenant une charge malicieuse exécutable) ou non.
Le but premier de l’équipe est de caractériser la menace et de fournir une détection automatisée ou textuelle de la vulnérabilité aux clients dans un temps contraint.
L’exemple proposé ici est un aperçu réel de la gestion d’un fichier malicieux exploitant la vulnérabilité CVE-2012-1535.
1.1. Vous avez un nouveau message
Le fichier malicieux nous parvient suite à la remontée d'une alerte consécutive à la...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première