Comparée au reverse « traditionnel », la rétro-ingénierie d’un logiciel malveillant peut être sujette à des contraintes particulières de temps, d’isolation et de confidentialité.
Lorsqu’un malware est découvert dans le cadre d’une mission de réponse à incident, il est primordial de pouvoir en extraire des indicateurs atomiques (entrée dans la base de registre, adresse IP, etc.) et comportementaux dans des délais courts. L’emploi de techniques d’analyse automatisée est ici indispensable. Les malwares utilisent toutefois fréquemment des mécanismes « anti-sandbox » plus ou moins perfectionnés et obscurcissent généralement leurs communications. Il est alors nécessaire de mettre les mains dans le cambouis pour avoir une compréhension aboutie de l’échantillon analysé.
Nous parlons dans cet article de binaires Windows, mais les mêmes techniques peuvent s’appliquer aux macros Office, aux fichiers JavaScript ou à tout autre type de code.
1. Martine monte un labo
Il existe aujourd’hui de nombreuses ressources en ligne pour obtenir rapidement des indicateurs sur un malware. On ne présente plus VirusTotal, malwr ni...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première