Analyse statique et dynamique de

logiciels malveillants – Environnement

Logiciel du CERT

Anissa KPAKPABIA
SOC-CERT Manager, Consultant cybersécurité
 OBJECTIFS DU COURS

 Définition d’un incident

 Gestion des incidents

 Mise en place de mécanisme de gestion d’incidents

 Sécuriser le traitement des logiciels malveillants pendant la gestion d’incidents

 Plateformes et outils d’analyse de logiciels malveillants

 La Cyber Threat Intelligence

 PROGRAMME
1. Introduction à la gestion d’incidents
2. Outils pour le traitement d’incidents
3. Surveillance et détection d’incidents
4. Outils d’investigation
5. Mise en place d’un laboratoire d’analyse
6. Analyse statique de logiciels malveillants
7. Analyse dynamique de logiciels malveillants
8. Introduction à l’analyse du renseignement sur les menaces
9. Evaluations
Introduction à la gestion d’incidents

Anissa KPAKPABIA
Cybersecurity Expert – CERT/SOC Manager
BSc (Hons) Soft. Eng
 NOTION D’INCIDENTS

 Discussions de groupe
• Définition d’un incident
• Gestion d’incident
o Difficultés ?
 NOTION D’INCIDENTS

 Notion large et variée couvrant plusieurs domaines

• Technique
• Fonctionnel
• Social
• Communication
• Financier etc.
 Source ou conséquence d’une faille sur le SI
 NOTION D’INCIDENTS

 COBIT - Control Objectives for Information Technologies

• Incident informatique : tout évènement qui ne fait pas partie du
fonctionnement normal d’un service et qui cause, ou peut causer, une
interruption ou une réduction de la qualité de ce service (IT Incident,
définition conforme à l’IT Infrastructure Library, ITIL),
• Problème : en informatique, cause à la base d’un ou de plusieurs
incidents
 NOTION D’INCIDENTS

 ITIL - Information Technology Infrastructure Library

• Incident : tout événement qui ne fait pas partie du fonctionnement standard
d’un service et qui cause, ou peut causer, une interruption ou une diminution de
la qualité de ce service.
• Problème : la cause inconnue d’un incident significatif ou la collection de
plusieurs incidents présentant les mêmes symptômes. La gestion des
problèmes consiste en une analyse visant à anticiper les incidents à venir
 NOTION D’INCIDENTS

 ISO 27000 – Sécurité de l’information

• Incident : un ou plusieurs évènements intéressant la sécurité de
l’information indésirable(s) ou inattendu(s) présentant une probabilité
forte de compromettre les opérations liées à l’activité de l’organisme et
de menacer la sécurité de l’information [ISO/CEI TR 18044:20041].
 NOTION D’INCIDENTS

 Définition: un événement, potentiel (au sens « signes précurseurs ») ou

avéré, indésirable et/ou inattendu, impactant ou présentant une

probabilité forte d’impacter la sécurité de l’information dans ses critères

de Disponibilité, d'Intégrité, de Confidentialité et/ou de Preuve. CLUSIF (Club

de la Sécurité de l'Information Français)
 NOTION D’INCIDENTS

 Définition: action malveillante délibérée, au non-respect d’une règle de la

Politique de Sécurité du Système d’Information (PSSI) ou, d’une manière

générale, à toute atteinte aux informations, toute augmentation des

menaces sur la sécurité des informations ou toute augmentation de la

probabilité de compromission des opérations liées à l’activité . CLUSIF (Club

de la Sécurité de l'Information Français)
 NOTION D’INCIDENTS

 Objectifs
• Détection
• Analyses et diagnostics
• Traitement à priori et à postéori
• Rétablissement du service
• Suivi de la gestion (Reporting)
• Bilan (Lessons learned)
 NOTION D’INCIDENTS

 Traitement des incidents

 Réponse aux incidents

 Gestion des incidents

 Gestion de crise
 GESTION D’INCIDENTS – RÉPONSES AUX
INCIDENTS
 Rôles complémentaires
• Réponse aux incidents
o analyse et confinement
• Gestion d’incidents
o logistique et communication
o planification et coordination
o processus et procédures
 GESTION D’INCIDENTS – RÉPONSES AUX
INCIDENTS

 Compétences différentes
 Le processus de gestion dépendra de l’importance de l’incident
• Organisation des activités
• Dévouement à l’analyse et aux spécificités techniques
• Soutien à la réponse
 GESTION D’INCIDENTS – RÉPONSES AUX
INCIDENTS
 Mesures de réponses d’urgence : Limiter les impacts et préserver les traces
• Confinement
• Isolation
• Communication ciblée

 Investigations – Analyse pour préciser:

• Nature de l’incident
• Fait générateur
• Périmètre impacté
• Impact
 GESTION D’INCIDENTS – RÉPONSES AUX
INCIDENTS

 Eléments importants
• Préservation des traces afin de conserver les preuves
o Sauvegarde de copie intégrale
o Copie des logs
• Environnements potentiellement concernés ( périmètre de l’investigation)
• Aide à l’analyse ( performance système, recherche sur les processus en cours
d’exécution, connexions inhabituelles etc.)
 GESTION D’INCIDENTS – RÉPONSES AUX
INCIDENTS

 Identification du root cause et analyse d’impact

 Quelle est la vulnérabilité ou la faiblesse exploitée – La réponse à cette question primordiale à
la sécurité du SI
 Quel est l’inventaire ou l’impact des dégâts ( déni de service, baisse de la qualité du service,
perte de donnée, divulgation d’information confidentielle, etc.)
 GESTION D’INCIDENTS – ORGANISATION

 Introduction
• Définition du périmètre
• Objectifs (Politique de gestion des incidents)
• Mesures (Processus et bonnes pratiques)
• Moyens (matériels, humains, financiers)
 GESTION D’INCIDENTS – LA POLITIQUE DE
GESTION DES INCIDENTS DE SÉCURITÉ

 Définir et garantir les modes de notification d’événements ou de de failles de

sécurité pour la mise en œuvre rapide d’action de remédiation ou corrective
 Définir et garantir une approche cohérente et efficace dans le traitement des
incidents
 GESTION D’INCIDENTS – LES MESURES

 Objectifs
• Signalement dans les meilleurs délais par les canaux préalablement
définis
o Procédures formelles définissant les mesures à prendre dès la notification
o Points d’entrée: Service Desk – RSSI – Équipe de réponse à incidents
o Sensibilisation sur les points d’entrée, les procédures et les règles
 GESTION D’INCIDENTS – LES MESURES

 Objectifs
• Noter et signaler toute faille de sécurité observée ou soupçonnée dans
les systèmes ou services
o Mécanisme de signalement simple et connus de tous
• Établir les responsabilités et les procédures pour une réponse rapide,
efficace et pertinente en cas d’incident
o Surveillance des systèmes, alertes et vulnérabilités
o Décrire des playbook
o Responsabilité de la clôture d’incident
 GESTION D’INCIDENTS – LES MESURES

 Objectifs
• Quantifier et surveiller les différents types d’incidents liés à la sécurité
de l’information ainsi que leur volume et les coûts associés
o KPI sur les informations recueillies lors des incidents, analyse de leur impact
o Analyse à froid lors des comex pour identifier les éventuelles actions préventives
o Revue régulière pour quantifier et surveiller les tendances
 GESTION D’INCIDENTS – LES MESURES

 Objectifs
• Assurance des personnes et investissements basée sur une analyse des
risques encourus. Les contrats d’assurance doivent couvrir différent
types de risques
o actualiser régulièrement le périmètre à assurer et réviser les contrats en
conséquence,
o démontrer l’efficacité de l’organisation en place pour la gestion des
incidents
 GESTION D’INCIDENTS – LES MESURES

 Objectifs
• Recueillir, conservés et présentés conformément aux dispositions légales
les éléments de preuve pour toute action en justice pénale ou civile
o avoir une procédure interne qui définit les exigences de sécurité en matière de
collecte des traces techniques de sécurité, de leur conservation, de leur protection
et de leur accès,
o seules les autorités judiciaires ou assermentées sont autorisées à collecter les
preuves légales.
 GESTION D’INCIDENTS – L’ÉQUIPE DE RÉPONSE
AUX INCIDENTS

 CERT (Computer Emergency Response Team) ou CSIRT (Computer Security

Incident Response Team)
• Analyse
• Évaluation d’impact
• Actions correctives
• Remise en fonction du service affecté
 GESTION D’INCIDENTS – L’ÉQUIPE DE RÉPONSE
AUX INCIDENTS
 Modèle centralisé
 Modèle distribué avec une seule autorité centrale ou entité de coordination
Exple du CERT/CC (Central Emergency Response Team / Coordination
Center situé à l’université de Carnegie Mellon aux États-Unis)
 Mode de gestion des ressources humaines et des services
• Prise en charge de l’ensemble des services
• Externalisation totale de la gestion des incidents
• Modèle mixte

 Moyens de communications interne et externe sécurisés et fiables

 GESTION D’INCIDENTS – L’ÉQUIPE DE RÉPONSE
AUX INCIDENTS

 Fonctionnement dépendra des stratégies d’entreprise – conformité

réglementaire – protection de l’image – efficacité opérationnelle
• Rationalisation de la veille technologique
• Célérité dans le traitement des incidents
• Vue globale du risque d’exposition du SI
 GESTION D’INCIDENTS – L’ÉQUIPE DE RÉPONSE
AUX INCIDENTS
 Environnement constitué d’acteurs et partenaires divers
• Niveau 1: les commanditaires du service (responsables hiérarchiques ou fonctionnels),
• Niveau 2: les acteurs internes pour lesquels elle intervient (responsables sécurité,
responsables informatiques),
• Niveau 3: les acteurs internes avec lesquels elle travaille au quotidien (équipes de
production, support informatique, équipes projet),
• Niveau 4: les acteurs internes avec lesquels elle a besoin de travailler ponctuellement
(juristes, ressources humaines, chargé de communication, cellule de crise),
• Niveau 5: les acteurs externes avec lesquels elle travaille (fournisseurs de services,
prestataires de service),
• Niveau 6: les acteurs externes avec lesquels elle échange (CERTs, forces de police,
chercheurs indépendants, etc.)
GESTION D’INCIDENTS – L’ÉQUIPE DE RÉPONSE
AUX INCIDENTS
 GESTION D’INCIDENTS – L’ÉQUIPE DE RÉPONSE
AUX INCIDENTS

 Compétences
• Compétences techniques
o Analyse de contexte opérationnel
o Identification rapide des contre-mesures
• Connaissance du contexte et des enjeux métier,
• Compétence rédactionnelle
• Aisance relationnelle
• Échange aisé avec les acteurs concernés en adaptant le discours en fonction du profil des
interlocuteurs
 GESTION D’INCIDENTS – L’ÉQUIPE DE RÉPONSE
AUX INCIDENTS

 Services et périmètre
• Réactifs: mis en œuvre
lors du traitement
• Proactifs: prévenir
l’incident
• Qualitatifs: élévation du
niveau de sécurité
N.B: Liste non exhaustive
 GESTION D’INCIDENTS – PROCESSUS DE
TRAITEMENT

 Signalement: personne physique ou moyen technique

 Prise en compte: help desk ou autre circuit – enregistrement et suivi
 Catégorisation: incident ou non
 Qualification: par un autre niveau (L2 normalement)
 Activation de la cellule de crise lorsque les conséquences potentielles sont
à un niveau trop important
 GESTION D’INCIDENTS – PROCESSUS DE
TRAITEMENT
 Intervention du CERT sur le volet traitement
 Les autres volets sont le processus général de gestion des incidents
 Prise en compte
 Catégorisation
 Qualification
 Processus de gestion de crise
 PCA/PRA
GESTION D’INCIDENTS – PROCESSUS DE
TRAITEMENT
 GESTION D’INCIDENTS – PROCESSUS DE
TRAITEMENT

 Détection et signalement
• toute personne qui a connaissance d’un fait ou d’une menace pour l’organisme (par
exemple comportement anormal d’un équipement, d’une application ou d’une
personne),
• un administrateur lorsqu’il est informé par un dispositif de supervision ou lorsqu’il
constate une anomalie lors de contrôles,
• un acteur de la sécurité lorsqu’il est informé par un outil de surveillance (détection
d’intrusion ou d’action frauduleuse) ou lorsqu’il constate une anomalie lors de
contrôles.
 GESTION D’INCIDENTS – PROCESSUS DE
TRAITEMENT

 Prise en compte
• Enregistrement de l’incident
o Incident catégorisé mais non qualifié – Différentes informations notes par la
personne qui enregistre l’événement
o Les enregistrements constituent une base et servi dans l’analyse de risques,
l’évaluation des dispositifs d’identification etc.
• Catégorisation
o Incident identifié comme incident de sécurité potentiel
o Référence aux fiches de consigne d’alerte de sécurité
 GESTION D’INCIDENTS – PROCESSUS DE
TRAITEMENT

 Qualification
• Investigations complémentaires
• Critères d’évaluation d’impact préétablis et disponible
• Type d’incidents
 GESTION D’INCIDENTS – LA CYBER KILL CHAIN

 Connaitre la méthodologie des attaques

• Défense active
o S’adapter aux menaces courantes
o Ajuster les filtres de défense et les règles de corrélations
• Défense passive
o Pare-feu
o Antivirus
o Liste noire
• Action et réaction par rapport à la menace mais dans les limites légales
 GESTION D’INCIDENTS – LA CYBER KILL CHAIN

 Lockheed Martin
• Reconnaissance : ciblage et identification de vulnérabilités
• Armement: Trouver ou créer le logiciel pour exploiter la vulnérabilité
• Livraison: Transmission de « l’arme »
• Exploitation: Le logiciel malveillant est déclenché et essaye d’exploiter la
vulnérabilité
• Installation: Portée d’accès dérobée
• Commande et contrôle: Accès permanent à la cible
• Actions sur objectif: Exfiltration, destruction de données, chiffrement
 GESTION D’INCIDENTS – LA CYBER KILL CHAIN

 FireEye
• Reconnaissance
• Intrusion initiale
• Établissement de porte dérobée
• Obtention d’identifiants
• Installation de programmes utilitaires
• Élévation de privilèges/Mouvement Latéral/ Exfiltration de données
• Maintien dans le système
 GESTION D’INCIDENTS – LA CYBER KILL CHAIN

 ATT&CK
1. Reconnaissance
2. Développement de ressources - Recueil et mise en place de ressources
3. Accès initial
4. Exécution - Exécution de code sur un système attaqué, local ou distant
5. Persistance - Maintien dans la durée d'une présence sur le système attaqué
6. Élévation des privilèges - Obtention d'un niveau de privilège plus élevé
7. Évasion de la défense - Échapper à la détection ou aux systèmes de sécurité
 GESTION D’INCIDENTS – LA CYBER KILL CHAIN

 ATT&CK
8. Accès authentifié - Utilisation d'informations d'identification légitimes
9. Découverte - Acquisition post-compromission d'une connaissance interne du
système
10. Mouvement latéral
11. Collecte - Processus de collecte d'informations d’intérêt pour l'attaquant, telles
que des fichiers, avant exfiltration
12. Commandement et contrôle
13. Exfiltration
14. Impact - Perturbation des processus du système cible (les processus
commerciaux et opérationnels de l'organisation ciblée)
 GESTION D’INCIDENTS – LA CYBER KILL CHAIN
UNIFIÉE

18 phases d’attaque unique pour les cyberattaques avancées des

APT
 GESTION DE CRISE

 CRISE
• Situation inattendue nécessitant des actions rapides et souvent en dehors des
procédures habituelles
• Plan de gestion de crise dont fait partie la réponse et la gestion d’incident
• Maintenir le fonctionnement des activités essentielles et limiter les dommages

 IMPACTS
• Rôles dans la gestion des incidents
• Niveau des services fournis
• A qui vous répondez?
• Processus de prise de décision
• Disponibilité des ressources
 GESTION DE CRISE – LES MODÈLES

 Observer Orienter Décider Agir

(boucle OODA)
• John Boyd conceptualise le processus
de décision face à l’ennemi
• Influencer le comportement de
l’ennemi en le surprenant et en
tronquant ses observations
• Intuition en gestion de crise
 GESTION DE CRISE – LES MODÈLES

 NIST – National Institute of

Standards and Technology
 GESTION DE CRISE – LES MODÈLES

 NIST – National Institute of Standards and Technology

• Identifier
o Cartographie du SI
o Roles et responsabiités de tous ceux qui ont accès au SI
o Les étapes à mettre en oeuvre pour la protection contre une attaque et limiter les
dommages
 GESTION DE CRISE – LES MODÈLES

 NIST – National Institute of Standards and Technology

• Protéger
o Contrôler qui se connecte à votre réseau et utilise vos ordinateurs et autres appareils.
o Utiliser des logiciels de sécurité pour protéger les données.
o Crypter les données sensibles, au repos et en transit.
o Effectuer des sauvegardes régulières des données.
o Mettre à jour les logiciels de sécurité, en automatisant ces mises à jour si possible.
o Adopter des politiques officielles pour éliminer en toute sécurité les fichiers électroniques
et les anciens appareils.
o Former à la cybersécurité
 GESTION DE CRISE – LES MODÈLES

 NIST – National Institute of Standards and Technology

• Détection
o Surveiller les ordinateurs pour détecter les accès non autorisés du personnel, des
périphériques (comme les clés USB) et des logiciels.
o Enquêter sur toute activité inhabituelle
o Vérifier l'absence d'utilisateurs ou de connexions non autorisés sur le réseau.
 GESTION DE CRISE – LES MODÈLES

 NIST – National Institute of Standards and Technology

• Réponse (avoir un plan pour):
o Notifier les clients, les employés et les autres personnes dont les données peuvent
être en danger.
o Maintenir les opérations commerciales en cours.
o Signaler l'attaque aux forces de l'ordre et aux autres autorités.
o Enquêter sur une attaque et la contenir.
o Mettre à jour votre politique et votre plan de cybersécurité en fonction des
enseignements tirés.
o Se préparer à des événements involontaires (comme les urgences météorologiques)
qui peuvent mettre les données en danger.
 GESTION DE CRISE – LES MODÈLES

 NIST – National Institute of Standards and Technology

• Récupérer
o Après une attaque :
 Réparer et restaurer les équipements et les parties du réseau qui ont été
touchés.
 Tenir vos employés et vos clients informés de vos activités de réponse et de
récupération.
 GESTION DE CRISE – LES MODÈLES

 ENISA – European Union Agency

for Cybersecurity
 RÉSUMÉ

 COMPRENDRE LE TRAVAIL DE L’ÉQUIPE DE RÉPONSE AUX INCIDENTS

• ÉQUIPE
• PÉRIMÈTRE
• PROCESSUS

 3 ÉTAPES
• PRÉPARATION
• OPÉRATION
• AMÉLIORATION