Académique Documents
Professionnel Documents
Culture Documents
spyware
Les Malwares
Virus
spam
rootkit
phreaking
M. Abdoulaye KEBE
MÉTHODOLOGIE
Enseignant:
Conférence lecture
Etudiants:
Rédaction de solution
Exposé briefing
COURS 40 HEURES
INTRODUCTION
CONCLUSION
DESCRIPTION DU COURS
Cette formation d’analyse de malwares vous permettra d'obtenir une vision
panoramique et globale de l'analyse de malwares.
Prérequis
Bonnes connaissances en systèmes d'exploitation et réseau
Bonnes connaissances en cybersécurité
Connaître un langage de programmation compilé est un bonus
Public concerné
Les équipes opérationnelles SOC et les équipes de réponse d’incident
Pentesters et RSSI
Auditeurs techniques, Analystes de sécurité
Objectifs
Découvrir la notion de Malware
Créer un environnement d'analyse de Malware avec les outils adaptés
Comprendre les mécanismes et les techniques utilisés par les Malwares
INTRODUCTION
Les virus sont les programmes qui infectent d'autres programmes en leur ajoutant un code
malveillant. Ce processus s'appelle l'infection.
Lors de la diffusion, les virus peuvent supprimer des fichiers ou même le système
d'exploitation, endommager la structure du stockage des données, bloquer l'utilisation de
l'appareil.
Les vers utilisent les ressources du réseau pour se propager. Cette classe a été appelée
« vers » en raison de sa particularité de « glissement » d'un ordinateur à l'autre via le
réseau, mail et autres canaux d'information.
MALWARES
Les spywares (keylogger): sont des logiciels qui permettent de recueillir des informations
sur un utilisateur ou une entreprise, sans qu'ils le sachent.
Les mineurs sont des applications qui utilisent l'appareil de l'utilisateur pour extraire des
pièces virtuelles sans que l'utilisateur le sache. (Bitcoin)
Le spam ou courrier indésirable sont des mails indésirables envoyés en masse. Par
exemple, les messages de la propagande politique, les mails qui demandent d'aider
quelqu'un.
Les rootkits : sont des outils utilisés pour dissimuler une activité malveillante. Ils cachent la
présence d'un malware afin d'éviter sa détection par un logiciel antivirus
Downloader : Ce malware se présente en général sous la forme d'un petit exécutable. Une
fois exécuté sur votre machine celui-ci va se connecter sur un site web, FTP, IRC, etc. De ce
site, il va télécharger un autre programme, en général beaucoup plus agressif, tel un Ver ou
un Rootkit.
Les Droppers sont des fichiers exécutables qui paraissent anodins mais qui, en fait,
installent un ou plusieurs malwares. Techniquement, ils en profitent par exemple pour
lancer le malware au démarrage de la machine, ou à l'ouverture d'un navigateur Internet.
RAPPEL SUR QUELQUES MALWARES CÉLÈBRES
Petya Wannacry
Ransomware apparu en 2016 qui chiffre la table de Ransomware utilisé en 2017 lors de la
fichiers et remplace le MBR
cyberattaque mondiale
Zeus
Cheval de Troie découvert en
Stuxnet
Vers informatique découvert en 2010 créé par la 2009
NSA
permettant de voler des infos
bancaires
RAPPEL SUR QUELQUES MALWARES CÉLÈBRES
Wannacry
Petya
Zeus
RAPPEL SUR QUELQUES MALWARES CÉLÈBRES
Wannacry
Ransomware utilisé en 2017 lors de la cyberattaque mondiale a touché environ 230 000 ordinateurs à
l'échelle mondiale pertes s’élevant à 4 milliards de dollars au niveau mondial.
Les utilisateurs d'ordinateur ont été victimes de l'attaque WannaCry parce
qu'ils n'avaient pas mis à jour leur système d'exploitation Microsoft
Windows.
S'ils l'avaient fait régulièrement, ils auraient bénéficié du correctif de sécurité
publié par Microsoft avant l'attaque.
RAPPEL SUR QUELQUES MALWARES CÉLÈBRES
Petya 2016 :chiffre certains fichiers sur votre ordinateur, puis demande une rançon en échange
d'une clé de déchiffrement. Cependant, alors que de nombreuses autres souches de ransomware se
concentrent sur des fichiers personnels comme des documents ou des photos, Petya peut verrouiller
de dommages.
RAPPEL SUR QUELQUES MALWARES CÉLÈBRES
Stuxnet
est un ver informatique mis au point conjointement par les services de
renseignement américains et israéliens pour saboter le programme nucléaire
iranien, lancé à la fin des années 2000.
Le ver a été spécialement conçu pour détruire les équipements SCADA utilisés
par le gouvernement iranien dans ses processus d’enrichissement du
combustible nucléaire. L’attaque a réussi, détruisant du matériel sur plusieurs
sites.
Il crée tout d’abord un botnet, à savoir un réseau de machines infectées contrôlées en secret
par une commande et un serveur de contrôle que gère le propriétaire du programme
malveillant. Un botnet permet au propriétaire de recueillir des quantités astronomiques
d'informations ou d'exécuter des attaques à grande échelle.
QUELQUES PRÉCAUTIONS SIMPLES, ACCESSIBLES, PERMETTENT
HEUREUSEMENT DE LIMITER LES RISQUES
S'ils parviennent à percer les défenses de votre système, peuvent prendre le contrôle et
causer des dégâts irréparables allant de la suppression de toutes vos données
personnelles jusqu'à la récupération frauduleuse de vos coordonnées bancaires ou de
vos identifiants de messagerie voir même vous demandez une rançon.
QUELQUES PRÉCAUTIONS SIMPLES, ACCESSIBLES, PERMETTENT
HEUREUSEMENT DE LIMITER LES RISQUES
Anti-virus Veille
vpn
firewall
monitoring IPS/IDS
cryptographie
LES MALWAREBYTES
Quelle est la source qui nous prend pour cible ? Est-ce qu’ils sont très
compétents ?
Comment puis-je m’en débarrasser ? Qu’est ce qu’ils ont volé ?
Depuis combien de temps ? Se propage-t-il tout seul ?
Comment puis-je le trouver sur les autres machines ?
Comment puis-je me prémunir pour éviter que ça arrive encore une fois dans le
futur ?
Il est pas un problème technologique qui peut être « résolu »; il est un risque d'être géré
par une combinaison de la technologie de défense