Sommaire

Détection de fichiers IOC:fichiers

1. Présentation

Une seconde manière d’obtenir une cartographie de l’infection est de détecter tous les binaires malveillants sur son parc. Pour identifier ces binaires, il faut déjà pouvoir exécuter des commandes sur tout le parc (ce qui n’est pas toujours si simple dans une société) et surtout savoir identifier ce binaire malveillant parmi les autres binaires nécessaires au fonctionnement du système d’exploitation. La difficulté est donc de faire une signature du malware et de ses variantes sans pour autant générer des faux positifs ; c’est-à-dire que cette signature ne doit pas identifier des binaires légitimes comme étant malveillants.

Dans cette section, nous verrons tout d’abord qu’il est possible de prendre des empreintes du binaire (ou hash). De telles empreintes permettent d’identifier les binaires strictement identiques. L’avantage est qu’aucun binaire légitime ne sera identifié. Par contre, l’inconvénient est qu’une variante n’aura pas la même empreinte que l’original et ne sera donc pas détectée. Ensuite, nous verrons qu’il est possible de créer à la main nos propres signatures suffisamment génériques pour identifier les variantes d’un malware. Pour finir, nous verrons un outil permettant de générer automatiquement des signatures censées ...