Accueil / Module 27
Module 27 β€” Analyse & Forensics

Working with Network Data

Comprendre les techniques d'attaque avancees, l'analyse retrospective des malwares, les interactions systeme et le framework MITRE ATT&CK.

  • Comprendre les attaques zero-day et leur interet pour les attaquants
  • Maitriser les backdoors et les methodes de prevention
  • Comprendre les communications C&C bidirectionnelles
  • Connaitre l'interaction applications-OS (appels API)
  • Utiliser le framework MITRE ATT&CK pour l'analyse

πŸ’£ 27.1 β€” Attaques zero-day et evasion

Les acteurs de menace privilegient les attaques zero-day pour une raison principale : eviter d'etre detectes par la cible. Puisqu'aucune signature n'existe pour une vulnerabilite zero-day, les IDS/IPS bases sur les signatures ne peuvent pas la detecter.

Pourquoi les zero-day sont si recherches
  • Aucun patch n'existe β†’ le systeme est vulnerable indefiniment
  • Aucune signature IDS β†’ evasion totale de la detection
  • Le marche noir des zero-day est lucratif (100K$ - 2.5M$ par exploit)
  • Les APT (State-sponsored) stockent des zero-day pour des operations futures

πŸšͺ 27.2 β€” Backdoors et methodes de prevention

Une backdoor est un mecanisme d'acces secret installe par un attaquant pour maintenir l'acces a un systeme compromis. Deux methodes complementaires previennent la creation de backdoors :

MethodeTypeDescription
HIPS (Host-based IPS)Prevention activeSignale et bloque les intrusions en temps reel sur l'hote β€” empeche l'installation de backdoors
Audit des terminauxDetection proactiveDetecter les fichiers anormaux sur les endpoints β€” identifier les backdoors deja installees
Approche complementaire
HIPS previent l'installation (temps reel) tandis que l'audit detecte ce qui a pu passer (retrospectif). Les deux sont necessaires pour une protection complete.

πŸ“‘ 27.3 β€” Communications C&C bidirectionnelles

L'objectif de la communication bidirectionnelle entre un malware et son serveur C&C (Command & Control) est de pouvoir envoyer des commandes au logiciel malveillant installe sur la cible.

Cette communication bidirectionnelle permet :

  • Du C&C vers le malware : envoyer des commandes (telecharger un module, lancer un scan, exfiltrer des donnees)
  • Du malware vers le C&C : rapporter le statut, envoyer les donnees volees, demander de nouvelles instructions

Analyse retrospective des malwares

L'avantage principal de l'analyse retrospective apres la penetration d'un malware est qu'elle facilite le suivi du comportement du programme malveillant. En examinant les logs et artefacts apres l'incident, on peut reconstituer :

  • Le vecteur d'infection initial
  • Les mouvements lateraux effectues
  • Les donnees exfiltrees
  • Les modifications systeme apportees

βš™οΈ 27.4 β€” Interaction Application-OS

Les applications interagissent avec le systeme d'exploitation en effectuant des appels API (Application Programming Interface calls), aussi appeles system calls (syscalls).

ConceptDescriptionExemple
API CallRequete d'une application vers l'OS pour acceder a une ressourceCreateFile(), ReadFile(), WriteFile()
System CallInterface bas niveau entre l'application et le noyau de l'OSopen(), read(), write(), fork()
DLL (Windows)Bibliotheques partagees contenant les fonctions APIkernel32.dll, user32.dll, ntdll.dll
Importance pour la securite
Les malwares utilisent les memes API que les applications legitimes. La surveillance des appels API suspects (ex: VirtualAlloc + WriteProcessMemory = injection de code) est une technique cle de detection comportementale utilisee par les EDR.

πŸ—ΊοΈ 27.5 β€” Framework MITRE ATT&CK

Le framework MITRE ATT&CK partage principalement deux types d'informations :

  1. Cartographie des etapes d'une attaque a une matrice de tactiques β€” permet de visualiser ou en est l'attaquant dans sa progression
  2. Tactiques, techniques et procedures (TTP) β€” description detaillee des methodes utilisees par les acteurs de menace
Composant ATT&CKDescriptionExemple
TacticL'objectif de l'attaquant (le "pourquoi")Initial Access, Persistence, Exfiltration
TechniqueLa methode utilisee (le "comment")T1566 Phishing, T1053 Scheduled Task
ProcedureL'implementation specifique par un groupeAPT28 utilise des macros Word pour du spearphishing

πŸ“ 27.6 β€” Quiz de revision

Points cles du Module 27

  • Les attaquants privilegient les zero-day pour eviter d'etre detectes
  • Deux methodes contre les backdoors : HIPS (prevention) + audit des terminaux (detection)
  • La communication C&C bidirectionnelle permet d'envoyer des commandes au malware
  • L'analyse retrospective facilite le suivi du comportement du malware
  • Les applications interagissent avec l'OS via des appels API
  • MITRE ATT&CK partage la matrice de tactiques et les TTP