? 2.13. Investigation numérique sur la
mémoire
? 2.13.1 La mémoire volatile
Lorsqu'une application est ouverte sur un appareil, une
certaine quantité de RAM lui est allouée afin qu'elle puisse
s'exécuter. Si plusieurs applications sont ouvertes, l'appareil doit
allouer une plus grande quantité de RAM. C'est pour cette raison que les
appareils dotés d'une RAM plus importante sont plus rapides : ils
peuvent exécuter plus d'applications en même temps.
Pour répondre à un incident de
cybersécurité, cela peut s'avérer complexe. Il arrive que
le serveur compromis n'alimente aucun SIEM en journaux
d'événements, voire même qu'il n'y ait pas de journaux du
tout. Dans ces circonstances, comment pouvons-nous commencer à
enquêter sur l'appareil compromis et à rassembler des preuves en
temps opportun dans le cadre d'un plan de réponse aux incidents ?
Nous devons d'abord confirmer la présence d'un malware
sur l'appareil avant de pouvoir capturer un échantillon et d'entamer la
rétro-ingénierie du malware au moyen d'outils
spécialisés.
La capture d'une image mémoire peut prendre du temps,
et il nous faudra ensuite transférer cette image (dont la taille
pourrait-être gigantesque) vers un emplacement où elle pourra
être analysée. Sans oublier le temps que prendra l'analyse. Face
à ces contraintes, l'analyse de la mémoire peut être un
atout majeur pour l'équipe de réponse. Alors qu'un disque dur
peut dépasser les 150 Go, la RAM de l'appareil est beaucoup plus petite,
généralement entre 8, 16 et 32 Go. La capture d'un vidage de la
RAM d'un appareil sera donc bien plus rapide et moins volumineuse lors du
transfert de la sortie.
? 2.13.2 Acquisition de la RAM
La méthode de capture des données diffère
selon l'appareil, machine physique ou machine virtuelle. Pour notre cas,
ça sera pour une machine physique.
? 2.13.3 Capture de la RAM
La capture de la RAM d'une machine physique peut se faire
à l'aide de plusieurs outils. FTK imager, est un outil parfait et
gratuit, la majorité d'enquêteurs le recommande car il est
très fiable et facile à utiliser.
? 2.13.4. Analyse de la RAM
Lors d'une analyse forensic, l'étude de l'image
mémoire d'un système avec des outils spécifiques peut
s'avérer utile, car elle permettra d'extraire des informations
difficilement exploitables lorsque le système est en fonctionnement.
C'est ce qui nous permettra de comprendre quelles actions ont été
effectuées.
Dans notre situation, nous ne savons pas si l'infection est
survenue ou pas à la suite d'exécution de certains processus. Il
faudra alors faire des recherches pour identifier si un logiciel malveillant a
été exécuté, et de quelle manière.
Pour extraire ces informations sur le dump mémoire que
nous avons réalisé, nous utiliserons le Framework open source
Volatility. Pour cette petite démonstration, nous allons utiliser une
image d'un système d'exploitation Windows XP sp1 ayant
exécuté un logiciel malveillant pendant l'ouverture d'un mail.
| 
