Si le recueil de la mémoire physique nous permet d'obtenir un élément de preuve solide de la présence d'un malware, encore faut-il pouvoir l'étudier avec précision afin de répondre aux éternelles questions que sont les Quoi, Quand, Où, Comment et même les Pourquoi et Qui.
En l'état actuel de mes connaissances, je reste dans l'attente d'un outil de live forensique vraiment opérationnel, mitonné par l'un de nos chercheurs INFOSEC (et oui, je les adore, en dépit de mon odieux troll précédent !!). En ce moment même, je me surprends à scruter avec anxiété les programmes des futures conférences INFOSEC, à la recherche de la perle rare. Je me suis même inscrit sur fond propre au SSTIC, afin de ne pas manquer une présentation très prometteuse sur le sujet. Il faut dire que j'ai loupé les deux dernières éditions...
J'ai la conviction que le recueil de la mémoire physique va devenir la méthode la plus puissante et surtout la plus rapide pour vérifier la présence d'un malware sur une machine suspecte. Le seul bémol est qu'il nous faut aujourd'hui trouver un moyen d'accès à l'objet \\Device\\PhysicalMemory sur les nouveaux systèmes MS Windows (post 2003 SP1).
En fait, beaucoup critiquent le live forensique en affirmant que rien ne vaut le RCE (Reverse Code engineering) en compagnie d'Ida et d'Olly et de tous leurs copains plugins, et que, de toute manière, l'image obtenue par le recueil de la mémoire physique est tellement déformée, qu'elle est inexploitable dans la vrai vie.com !
J'utilisais essentiellement le recueil de la mémoire physique dans le cadre de procédures IR, et non pas pour étudier à fond un malware. Mon objectif, alors, était uniquement de confirmer sa présence (on ne fait pas dans la dentelle, lorsque l'on ne dispose que de 50 minutes). Je ne pratique plus l'IR depuis plus d'un mois et me limite aujourd'hui à l'étude de spécimens "en dur" à l'aide de bonnes vieilles techniques de RCE. C'est déjà pas si mal, et cela me permet surtout de me tenir informé des nouvelles tendances.
Mais, il me vient toujours en tête le cas hypothétique du "malware tout en mémoire", forgé spécialement pour une victime particulière et qui surtout n'a jamais été diffusé à grande échelle ! Vous me direz qu'un tel animal si dématérialisé ne coure pas les rues et que, de toute façon, tout ce qui est en circulation provient de POC connues et reconnaissables (Proof of concept et non Point Of Contact...).
Mais, imaginez que cela devienne la norme ! on ne pourrait plus en attraper un dans un honeypot ou dans l'enregistrement d'une cession TCP non chiffrée réalisé par son IDS favori (Snort et Sguil le font très bien, même si Sguil est une véritable galère à installer sur Linux). Nous n'aurions plus alors que son image en mémoire physique pour l'étudier, à la condition que nous disposions des procédures IR adéquates. Ce qui est encore loin d'être le cas partout...
En l'état actuel de mes connaissances, je reste dans l'attente d'un outil de live forensique vraiment opérationnel, mitonné par l'un de nos chercheurs INFOSEC (et oui, je les adore, en dépit de mon odieux troll précédent !!). En ce moment même, je me surprends à scruter avec anxiété les programmes des futures conférences INFOSEC, à la recherche de la perle rare. Je me suis même inscrit sur fond propre au SSTIC, afin de ne pas manquer une présentation très prometteuse sur le sujet. Il faut dire que j'ai loupé les deux dernières éditions...
J'ai la conviction que le recueil de la mémoire physique va devenir la méthode la plus puissante et surtout la plus rapide pour vérifier la présence d'un malware sur une machine suspecte. Le seul bémol est qu'il nous faut aujourd'hui trouver un moyen d'accès à l'objet \\Device\\PhysicalMemory sur les nouveaux systèmes MS Windows (post 2003 SP1).
En fait, beaucoup critiquent le live forensique en affirmant que rien ne vaut le RCE (Reverse Code engineering) en compagnie d'Ida et d'Olly et de tous leurs copains plugins, et que, de toute manière, l'image obtenue par le recueil de la mémoire physique est tellement déformée, qu'elle est inexploitable dans la vrai vie.com !
J'utilisais essentiellement le recueil de la mémoire physique dans le cadre de procédures IR, et non pas pour étudier à fond un malware. Mon objectif, alors, était uniquement de confirmer sa présence (on ne fait pas dans la dentelle, lorsque l'on ne dispose que de 50 minutes). Je ne pratique plus l'IR depuis plus d'un mois et me limite aujourd'hui à l'étude de spécimens "en dur" à l'aide de bonnes vieilles techniques de RCE. C'est déjà pas si mal, et cela me permet surtout de me tenir informé des nouvelles tendances.
Mais, il me vient toujours en tête le cas hypothétique du "malware tout en mémoire", forgé spécialement pour une victime particulière et qui surtout n'a jamais été diffusé à grande échelle ! Vous me direz qu'un tel animal si dématérialisé ne coure pas les rues et que, de toute façon, tout ce qui est en circulation provient de POC connues et reconnaissables (Proof of concept et non Point Of Contact...).
Mais, imaginez que cela devienne la norme ! on ne pourrait plus en attraper un dans un honeypot ou dans l'enregistrement d'une cession TCP non chiffrée réalisé par son IDS favori (Snort et Sguil le font très bien, même si Sguil est une véritable galère à installer sur Linux). Nous n'aurions plus alors que son image en mémoire physique pour l'étudier, à la condition que nous disposions des procédures IR adéquates. Ce qui est encore loin d'être le cas partout...
Articles
Aucun commentaire:
Enregistrer un commentaire