Conception et réalisation d'une plateforme d'investigation numérique

? 2.13.5. Identification du profil

Pour commencer, nous devons d'abord définir un profil pour indiquer à Volatility de quel système d'exploitation provient l'image de la mémoire. Pour le découvrir nous utiliserons le plug-in imageinfo. La commande exécutée dans ce cas est : Python vol.py -f memdump.mem imageinfo. Nous essayerons d'être beaucoup plus dans le chapitre suivant qui parlera de comment mener une investigation numérique.

? 2.13.6. Lister les processus en cours

Le système d'exploitation est responsable de la gestion, de la suspension et de la création de processus, c'est-à-dire des instances d'un programme.

Lorsqu'un programme s'exécute, un nouveau processus est créé et associé à son propre ensemble d'attributs, y compris un ID de processus unique (PID) propre à chacun, et un espace d'adressage.

L'espace mémoire d'un processus devient un conteneur pour le code de l'application, les bibliothèques partagées, les données dynamiques et la pile d'exécution.

Un aspect important de l'analyse de la mémoire consiste à énumérer les processus qui s'exécutent sur un système et analyser les données stockées dans leur espace d'adressage. L'objectif ? Dénicher les processus correspondant à des programmes potentiellement malveillants, ainsi que comprendre leur fonctionnement, leur origine, et les analyser en détail. Pour extraire la liste des processus, il est possible d'utiliser l'option pslist.

Voici la commande : python vol.py -f memdump.mem --profile=Win7SP1x86 pslist

Il existe une multitude d'options disponibles que nous allons plus détaillée dans la plateforme. Ces options permettent d'explorer le contenu de la mémoire et de reconstruire les structures de données pour en extraire les informations pertinentes.

? 2.13.7 Analyse des Malware

Après identification des logiciels malveillants ayant conduits avec compromission, Il faudrait procéder à l'analyse pour comprendre le mode opératoire et comment le contrer.Pour pouvoir infecter un ordinateur, un attaquant doit faire en sorte d'exécuter du code malveillant sur la machine cible. Pour ce faire, il doit utiliser un vecteur d'infection.

Un vecteur d'infection est donc un moyen d'infecter un ordinateur.^32(*) Il existe plusieurs types de vecteur :

? La navigation internet via le téléchargement ou via l'exploitation de vulnérabilités.

? L'email contenant une pièce jointe malveillante ou un lien malveillant. Les pièces jointes peuvent être des fichiers compromis tels qu'un fichier PDF, ZIP, Office... Cela peut également être un SMS, ou un message sur les réseaux sociaux.

? Les clefs USB et autres supports externes peuvent aussi être des vecteurs d'infection.

? Un autre vecteur d'infection est ce qu'on appelle la « Supply Chain Attack », il s'agit ici de compromettre un tiers de confiance de l'entreprise cible pour pouvoir la compromettre. Ainsi elle bénéficiera d'un canal de confiance qui lui permettra de contourner les protections mis en place. Ce genre de vecteur est beaucoup plus difficile à détecter et à éviter car il s'agit de la sécurité des tierces parties avec lequel l'entreprise travaille.

* ³² https://www.mailinblack.com/ressources/blog/quels-sont-les-differents-vecteurs-dattaques-informatiques/