Sommaire

Artefacts système sous Windows

1. Types d’artefacts

Qu’est-ce qu’un artefact de compromission ? Tout peut être un artefact permettant d’identifier une infection. Le plus compliqué est de trouver un bon artefact, qui ne génère pas de faux positifs ni de faux négatifs. Parmi la liste des artefacts les plus communs, il y a les fichiers, les clés de registre, les mécanismes de persistance, mais il existe des artefacts plus compliqués à détecter tels qu’un mutex ou un named pipe créé par le malware pendant son fonctionnement. Même des artefacts qui semblent aléatoires peuvent être détectés via des expressions rationnelles. Imaginons un named pipe généré aléatoirement, mais toujours sur 8 caractères avec des chiffres et des lettres. L’expression rationnelle suivante permettra de le détecter sans problème : ^[a-zA-Z0-9]{8}$.

Avoir de bons IOC prend du temps et de la réflexion. Mais de leur qualité dépendra la détection des machines compromises dans un parc, quelle que soit sa taille.

2. Outils

Il existe de nombreux outils permettant la détection d’artefacts. L’un des plus connus est OpenIOC, il sera décrit dans la prochaine section. Mais il existe d’autres produits intéressants qui ne sont pas dédiés à cette tâche. Nous pouvons par exemple utiliser GMER que nous avons mentionné ...