mardi 9 avril 2013

Technique ET Tactique...preuve par l'exemple

Source : McAfee Blog
Comme souvent, la veille quotidienne fournit matière à réflexion. Illustrons l'article de la veille par une mise en oeuvre d'une analyse duale. 

Rappelons rapidement les conclusions en commençant par ré-affirmer un élément : la notion de "technique ET tactique" illustre bien la nécessité du recours à des champs d'analyse variés dans une perspective de lutte informatique. Elle n'en reste pas moins approximative. Nous sommes cependant certains que les lecteurs en comprendront la portée et les limites.

Le premier article qui participe de la rédaction de cet article a été rédigé par Zythom. Cet excellent blogueur, d'une modestie rare, travailleur acharné et expert judiciaire explique de manière tout à fait convaincante la place de l'expert judiciaire. Il montre également de manière particulièrement pertinente la positions ambiguës de ce dernier qui n'est ni le spécialiste absolu ni le généraliste incompétent mais bien l'intermédiaire entre deux mondes.

Son travail est d'abord de comprendre l'ensemble des données techniques, de s'approprier les réflexions et les outils du spécialiste puis de les transcrire, sans les trahir, dans une démarche qui emporte des conséquences graves (judiciaires).

Remplaçons maintenant l'aspect judiciaire par l'aspect politique/conflits et conservons les aspects techniques. Nous obtenons le profil assez bien dessiné de l'analyste en matière de conflits informatiques. Preuve, par l'exemple, que celui-ci n'est pas rigide ni n'appartient à l'un de nos deux champs.

Le second article, qui fournit la "belle" image de cet article, provient du blog McAfee concernant l'analyse des codes malveillants. Il contient les prémisses de ce que l'on pourrait attendre en matière de réflexions. Prenons quelques exemples :

- le début de l'article s'intéresse à ce qui apparaît comme une tentative de dissimulation ou de discrétion. Lorsque nous les formulons ainsi, les concepts évoqués sont de l'ordre de la conflictualité. En s'intéressant aux détails, nous constatons que le concepteur du code a joué avec les en-têtes de fichiers  en modifiant le début d'un fichier ".zip" pour le faire apparaître comme de l'encodage de caractères en UTF-8.  Il a également intégré un dispositif permettant d'obtenir des signatures (hashes) différentes en intégrant des variations notamment sur une datation (timestamp) intégrée dans le zip.

- le contenu des fichiers analysés par les chercheurs de l'antivirus révèle également l'usage du russe dans le nommage de la principale charge utile (payload). Les tests effectués révèlent également qu'une fois installé, le malware modifie le fichier "hosts" sur la machine de la victime et établit des correspondances notamment avec des sites appartenant au domaine russe ".ru"...Ainsi, lorsque la victime souhaite se connecter à l'un de ces sites, les informations du fichiers prévalent sur celles que pourrait fournir le DNS et la victime se connecte à un site piégé ressemblant parfaitement au site légitime. Le concepteur utilise donc des techniques de manipulation et semble avoir une prédilection pour des victimes russophones (la liste entière n'a pas été utilisée ici). L'usage du russe dans le nommage des fichiers peut confirmer ce qui apparait comme une attaque limitée.

Les deux exemples de l'analyse fournie par l'éditeur nous donne deux approches différentes. Une "tactique" qui recherche ses preuves dans le domaine technique. La seconde, plus volontiers technique initialement, tire des conclusions appartenant au domaine "tactique". L'une comme l'autre ne se veulent que des exemples et peuvent être largement approfondies...

Les deux "preuves par l'exemple" illustrent ici à la fois une démarche analytique duale qui s'inspire de plusieurs domaines. L'article de Zythom peut-être vu comme une confirmation des profils types apte à conduire ce type d'analyse et à leur utilité. 

Nul doute donc que l'un comme l'autre sont nécessaires...!

Source :

dans le texte


Aucun commentaire:

Enregistrer un commentaire