Sommaire

Conclusion

Ce chapitre a parcouru une part importante de l’analyse de malwares. En effet, l’analyse technique et le reverse engineering ne sont pas une finalité. La finalité est de stopper l’attaque, de détecter les machines infectées et pour finir de les nettoyer. C’est la partie ingrate du métier d’analyste de malwares dans une société, car c’est la plus longue, la plus fastidieuse et la plus répétitive. Pour un gros parc informatique, cette phase peut prendre plusieurs mois, car identifier toutes les variantes et cartographier l’intégralité de l’infection peut s’avérer très compliqué. De plus, nous n’avons jamais la certitude de ne pas oublier une machine lors de la cartographie. Une seule machine oubliée et toujours sous le contrôle de l’attaquant lui permettra de réinfecter le parc avec une nouvelle variante. Le coup d’avance de l’équipe gérant l’incident sur l’attaquant est la qualité de ces indicateurs de compromission, car l’attaquant ne peut pas deviner de quelle manière ses malwares sont détectés. Le jeu du chat et de la souris se met en place entre les deux équipes.