Étapes initiales et vérifications de la détection des logiciels malveillants

Cas d’utilisation

Il existe un appareil dont le statut de sécurité est inconnu et le propriétaire souhaite enquêter sur la possibilité d’une infection ou de compromission antérieure. Vous avez peut-être reçu cet appareil physiquement ou vous assisterez peut-être le client à distance. Utilisez différents outils d’analyse de première partie disponibles sur le marché ou intégrés ainsi que des contrôles d’intégrité pour identifier, analyser et rechercher des indicateurs de compromission (IoC) afin d’identifier une violation ou un logiciel malveillant suspect donné.

Objectifs

Après avoir terminé ce sous-thème, les participants devraient être en mesure de faire ce qui suit :

• Utiliser des outils de détection de logiciels malveillants populaires, tels qu’un antivirus ou les outils intégrés à votre système d’exploitation pour faciliter votre analyse
• Comprendre certaines protections de base contre les logiciels malveillants dans les systèmes d’exploitation modernes et la façon de vérifier si elles sont en cours d’exécution ou si elles ont été désactivées.

Section Principale

Programme antimalware standard (toutes les plateformes)

La méthode la moins laborieuse pour détecter les logiciels malveillants connus consiste simplement à utiliser un scanner de logiciels malveillants pour examiner le système en direct de l’appareil d’un client. Notez que la qualité des produits antivirus peut varier énormément, mais la plupart des produits détectent les logiciels malveillants les plus connus. Vous trouverez ci-dessous des liens vers certains logiciels malveillants courants pour les systèmes d’ordinateurs de bureau :

• 🧰 Windows : Microsoft Defender est gratuit et intégré dans Windows. Divers outils AV commerciaux peuvent être utilisés, chacun avec ses propres avantages et inconvénients. Ici, nous allons suggérer MalwareBytes. Considérez également AdwCleaner de MalwareBytes pour un suppresseur d’adwares et autres programmes potentiellement indésirables¹
• 🧰 MacOS : nous recommandons également d’utiliser MalwareBytes. Avast Free Antivirus est également une option gratuite.
• 🧰 Linux : ClamAV est un antivirus open-source pour Linux. Il est également disponible pour d’autres plateformes
• 🧰Android : divers fournisseurs tels que LookOut fournissent un antivirus Android gratuit ou payant et des protections de sécurité mobiles supplémentaires. ClamAV est implémenté sur Android dans l’application Hypatia via F-Droid.
  • Google Play Protect analysera les applications sur votre téléphone, même celles qui ne sont pas téléchargées à partir de Google Play Store. Cliquez sur le lien pour obtenir plus de détails et des instructions sur la façon de lancer une analyse.

💡 Par rapport aux systèmes d’exploitation d’ordinateurs de bureau, l’antivirus sur Android est plus limité dans sa capacité. Il peut analyser toutes les applications installées, mais n’est pas en mesure de rechercher d’éventuels logiciels espions avancés cachés sur le système. En outre, il risque de ne pas être en mesure de supprimer les logiciels malveillants qu’il détecte.

• 🧰 iOS : il n’existe aucun scanner de logiciels malveillants complet pour iOS. La sécurité intégrée à iOS signifie que les applications ne peuvent pas analyser les autres applications installées. Plusieurs fournisseurs d’antivirus ont des applications pour iOS, mais celles-ci ont tendance à avoir d’autres fonctions, telles que le blocage des sites Web d’hameçonnage ou la vérification si le téléphone est à jour.

Conseils et compétences pour utiliser un antivirus standard afin de détecter les logiciels malveillants

L’une des premières mesures que vous pouvez prendre lorsque vous recherchez un logiciel malveillant est d’installer un programme antivirus et de le laisser exécuter une analyse sur le système. Une fois l’analyse terminée, la plupart des programmes génèrent une sorte de journal qui fournit des informations supplémentaires sur les résultats de l’analyse, et nous vous recommandons de le consulter. Si les programmes antivirus détectent un fichier potentiellement suspect, ils peuvent le mettre en quarantaine, ce qui signifie que le fichier sera verrouillé loin du reste du système d’exploitation afin qu’il ne puisse pas être ouvert accidentellement ou causer d’autres ravages. Si vous souhaitez effectuer une analyse plus approfondie de ce fichier, vous devrez peut-être le retirer de la quarantaine. Consultez la documentation de votre programme antivirus à ce sujet.

Il convient de noter que les logiciels malveillants modernes n’impliquent pas toujours des fichiers malveillants. Au lieu de cela, ils peuvent impliquer des scripts légitimes effectuant des tâches malveillantes qui sont rendues persistantes d’une certaine manière. Les applications antivirus rechercheront ces tâches, donc les journaux qu’elles fourniront ne contiendront pas seulement des « fichiers ».

Vous devez être conscient(e) des limites des programmes antivirus et des raisons pour lesquelles ils ne sont pas un remède total contre les logiciels malveillants. Les différents programmes antivirus utilisent différents moteurs de détection. Certains moteurs détectent certains types de virus et autres logiciels malveillants, mais aucun moteur n’est efficace à 100 %.

Pour cette raison, si vous avez un échantillon, vous pourriez peut-être téléverser les fichiers potentiellement suspects sur VirusTotal, qui les vérifiera à l’aide d’une suite de moteurs disponibles dans le commerce et fournira d’autres informations qui pourront vous aider à déterminer s’ils sont de nature malveillante. Notez que si vous téléchargez un fichier sur VirusTotal, il restera sur le site Web et pourra être téléchargé (et recherché) par toute personne ayant un compte payant sur le site. À ce titre, si vous avez affaire à des fichiers qui contiennent des informations potentiellement sensibles ou si vous ne voulez pas que l’analyse de ce fichier soit rendue publique, il est préférable de générer un hachage du fichier² et de le rechercher sur VirusTotal. Enfin, rappelez-vous que VirusTotal n’utilise que des moteurs statiques et que sa détection peut donc être moins efficace que celle d’un antivirus fonctionnant sur un système en direct. Voir le sous-thème 8 sur la détection par échantillonnage pour en savoir plus sur cette compétence. Pour en savoir plus sur les compétences de VirusTotal, suivez l’activité du chapitre 7 du Guide d’intervention sur le terrain pour la société civile et les médias.

Bien que les moteurs antivirus modernes tentent de rechercher des comportements de type logiciel malveillant et de bloquer les exécutables qui répondent à ce critère, ces tests sont encore relativement rudimentaires. Le programme antivirus reconnaît principalement les logiciels malveillants basés sur les IoC qui lui ont été soumis. Par conséquent, il détecte rarement les logiciels malveillants nouveaux ou moins connus.

En outre, les adversaires testent souvent leurs logiciels malveillants contre les programmes antivirus bien connus et les modifient afin qu’ils ne soient pas facilement détectés, par exemple en utilisant le brouillage, l’encodage, la compression et le chiffrement. Certains logiciels malveillants tenteront de désactiver les programmes antivirus ou de s’ajouter à une liste d’exceptions afin de ne pas être analysés. D’autres logiciels malveillants peuvent inciter les utilisateurs à les désactiver. Pour cette raison, nous vous recommandons d’installer un nouveau programme antivirus sur un système potentiellement compromis et de l’utiliser pour y exécuter une analyse. Vous pouvez désinstaller le programme par la suite.

Lorsque vous trouvez des logiciels malveillants ou des logiciels publicitaires sur un ordinateur, y compris dans les cas où il s’agit de logiciels malveillants ou publicitaires de base, il est utile de travailler avec le propriétaire de l’appareil pour comprendre comment le logiciel malveillant peut avoir été installé sur l’appareil (cela est décrit dans le sous-thème 10), puis de nettoyer l’infection (cela est décrit dans le sous-thème 11). Comprendre comment le logiciel malveillant a été installé peut indiquer un manque de contrôles, une sensibilisation aux comportements à risque, ou même des problèmes de chaîne d’approvisionnement (par exemple, les appareils livrés étaient préinstallés avec des programmes potentiellement indésirables) à discuter et à traiter.

Triage/listes de contrôle pour vérifier les protections manquantes

Tous les systèmes d’exploitation modernes utilisent une forme de protection intégrée ou ce qu’on appelle des « jardins clos » (walled gardens) (comme les magasins d’applications ou Smart Screen) qui limitent les utilisateurs aux fichiers exécutables que le système d’exploitation juge comme étant sûrs. En vérifiant si ces protections ont été désactivées, supprimées ou mises dans un état d’erreur, vous obtiendrez une indication précieuse de triage que d’autres infections peuvent avoir eu lieu. Si l’une de ces protections ne fonctionne pas, cela ne signifie pas nécessairement qu’elles ont été désactivées par un logiciel malveillant, un utilisateur aurait pu les désactiver manuellement pour exécuter certains logiciels ou elles auraient pu être ciblées par une attaque d’ingénierie sociale aura convaincu l’utilisateur de désactiver certaines de ces fonctionnalités. Si vous réactivez ces protections, cela empêchera probablement de nombreux logiciels malveillants de fonctionner ou limitera les dommages qu’ils peuvent causer au système.

L’une des choses que vous pouvez faire sur tous les systèmes est de vérifier tous les navigateurs Web qui sont installés et afin de déterminer s’ils ont de nouvelles extensions que vous ne reconnaissez pas. S’ils ont de telles extensions, lancez une recherche sur le Web pour voir ce qu’elles permettent de faire, si elles peuvent être malveillantes et, si elles sont potentiellement malveillantes, quel type de logiciel malveillant pourrait les avoir installées.³

Pour tous les appareils, nous vous recommandons de consulter cette liste de contrôle de triage rapide.

Windows

Consultez le Centre de sécurité de Windows Defender (ou Sécurité Windows en un coup d’œil), qui vous permet de consulter rapidement plusieurs paramètres de sécurité Windows, notamment si Windows Defender est actuellement opérationnel. Notez que les fonctionnalités antivirus de Windows Defender peuvent être automatiquement désactivées si vous installez un antivirus tiers. Ce comportement est normal. Dans les deux cas, un programme malveillant peut avoir réussi à s’ajouter à une liste d’exceptions (allowlist) demandant à l’outil anti-malware de ne pas le vérifier. Vous pouvez vérifier qu’il n’y a pas d’exceptions indésirables sur Windows Defender en utilisant ces instructions et d’autres produits anti-malware tiers peuvent offrir la même fonctionnalité. Le panneau de configuration vous permettra de vérifier l’état de plusieurs autres protections intégrées, telles que la protection basée sur la réputation, l’isolation du noyau et le démarrage sécurisé, entre autres.

Windows utilise Smart App Control (précédemment appelé SmartScreen avant Windows 11, qui est maintenant la version Web du produit intégrée dans le navigateur Edge) comme mécanisme pour vérifier la réputation des exécutables avant leur exécution. Vérifiez Smart App Control (Win 11) dans les paramètres de sécurité Windows pour voir si l’outil a été désactivé. Recherchez les paramètres Smart Screen dans les versions antérieures de Windows.

MacOS

• macOS a plusieurs mécanismes qui visent à empêcher les logiciels malveillants de s’exécuter. Toutefois, un acteur malveillant pourrait trouver des moyens de les contourner. Découvrez les différentes protections qui existent sur macOS. Ce guide avancé fournit un examen approfondi des protections macOS et des bases de données utilisées. Les utilisateurs avancés pourraient parcourir ces bases de données pour repérer les activités inhabituelles, bien qu’il s’agisse d’un travail de criminalistique approfondi qui dépasse la portée de ce parcours d’apprentissage.
• L’un des mécanismes anti-malware les plus importants sur macOS s’appelle Gatekeeper. Chaque système macOS devrait avoir Gatekeeper activé, en particulier pour les appareils qui exécutent des données sensibles. Cependant, dans certains cas, des logiciels malveillants ont désactivé les protections de Gatekeeper afin de pouvoir exécuter d’autres codes malveillants sur les systèmes macOS. Les utilisateurs peuvent avoir été ciblés par des attaques d’ingénierie sociale qui les ont convaincus de désactiver cette fonctionnalité. Vous pouvez exécuter « spctl –status » sur le terminal macOS pour voir si Gatekeeper, son outil anti-malware standard, est activé ou désactivé.⁴ Si Gatekeeper est désactivé, assurez-vous de l’activer (cela empêchera la plupart des logiciels malveillants de s’exécuter) et d’enquêter, peut-être en vérifiant l’historique de la ligne de commande, pour déterminer comment la désactivation a pu se produire.

iOS

• iOS prend en charge le chargement de profils personnalisés. Ceux-ci sont généralement utilisés pour se connecter à des réseaux d’entreprise ou universitaires, mais un cybercriminel pourrait potentiellement les utiliser pour intercepter votre trafic. Accédez aux paramètres de votre appareil iOS et vérifiez si des profils ont été installés. Si des profils semblent suspects et que l’utilisateur ne se rappelle pas les avoir installés, cela pourrait être un signe d’activité malveillante. Dans ce cas, il serait judicieux de documenter tout ce que vous pouvez trouver sur ce profil, de prendre des captures d’écran, puis de le supprimer.
• iOS dispose également de raccourcis, généralement utilisés pour automatiser certaines fonctions sur l’appareil, telles que la compression d’images ou la conversion de texte. L’application est généralement assez efficace pour décrire ce que les raccourcis font en langage clair (bien que certains raccourcis vous permettent d’exécuter du JavaScript personnalisé). Tout comme avec les profils, si vous voyez des raccourcis qui semblent suspects (notez que chaque version d’iOS peut en installer de nouveaux, il est donc préférable de les lire également), documentez-les via des captures d’écran, puis supprimez-les. En général, il est incroyablement difficile pour les logiciels malveillants d’installer des profils ou des raccourcis personnalisés. Il est beaucoup plus facile pour un cybercriminel de les charger via l’ingénierie sociale ou en ayant un accès rapide à un appareil déverrouillé.
• Tenez compte de la sécurité du compte iCloud de l’utilisateur, car la compromission de ce compte peut donner accès à des données importantes sur l’appareil iOS. Effectuez un examen de la sécurité du compte Apple ID et apportez des modifications telles que des changements de mot de passe, l’authentification 2FA, la suppression de l’accès à l’application et la déconnexion d’un autre appareil si nécessaire. Le Contrôle de sécurité d’Apple contient une fonctionnalité d’évaluation qui pourrait vous aider à cet égard.
• Les cybercriminels envoyaient parfois des messages texte ou des iMessages contenant des liens malveillants aux personnes ciblées. Si vous cliquez dessus, ce lien pourrait contenir un logiciel malveillant ou une charge utile d’ingénierie sociale. Il peut être judicieux de parcourir les iMessages et les messages texte récents pour voir si certains contiennent des liens ou d’autres contenus suspects.
• Pour en savoir plus sur les bases du triage iOS, consultez le chapitre 12 du guide de terrain.
• Certains cybercriminels essaient d’ajouter un nouvel appareil qu’ils contrôlent à la liste des appareils liés dans l’application de messagerie de la personne ciblée comme WhatsApp ou Signal. De cette façon, tous les messages que la personne ciblée envoie et reçoit sont également copiés sur l’appareil du cybercriminel. Cette attaque est généralement causée par un cybercriminel ayant un accès physique direct plutôt que par un logiciel malveillant, mais la recherche d’appareils liés non reconnus dans WhatsApp, Signal, Telegram et d’autres messageries devrait également être un élément clé du processus de triage.

Android

• Pour Android, lisez le chapitre 8 du guide de terrain, qui montre comment vous pouvez trier les applications potentiellement suspectes en examinant les différentes autorisations (telles que l’accès à vos photos, à la caméra ou au microphone) qu’elles demandent.
• Vérifiez les applications ayant un contrôle supplémentaire sur l’appareil en examinant les applications répertoriées et activées sous Applications d’administration de l’appareil dans les paramètres Android. L’utilisateur doit savoir quelles applications ont obtenu ces privilèges, en général il s’agit soit d’applications d’entreprise ou d’applications officielles en cas de vol de l’appareil qui permettent l’effacement des données à distance. Si des autorisations d’administration ont été accordées à des applications non reconnues, désactivez-les et enquêtez davantage.
• Sources inconnues d’installation est une autre autorisation Android qui peut être accordée à une application pour lui permettre d’installer d’autres applications. Cela contourne la protection du « jardin clos » des magasins d’applications officielles comme Google Play Store ou Galaxy Store. Dans certains cas, cela peut être souhaitable, comme dans le cas du magasin d’applications open source F-Droid. Toutefois, si vous constatez qu’une application Bluetooth, de navigation, de messagerie instantanée, de gestion de fichiers ou d’envoi/transfert de fichiers a obtenu cette autorisation, cela indique que le propriétaire de l’appareil a installé des applications en dehors des sources d’applications sécurisées et que des enquêtes supplémentaires seront nécessaires.
• Les cybercriminels envoyaient parfois des messages texte contenant des liens malveillants aux personnes ciblées. Si vous cliquez dessus, ce lien pourrait contenir un logiciel malveillant ou une charge utile d’ingénierie sociale. Il peut être judicieux de parcourir les messages texte récents pour voir s’ils contiennent des liens ou d’autres contenus suspects.
• Vérifiez les informations de l’application pour déterminer s’il est possible de la désinstaller. Si ce n’est pas le cas, il s’agit d’une application préinstallée. Cela pourrait tout de même être un problème (certains téléphones moins chers ont des logiciels malveillants préinstallés), mais cela exclut le ciblage et cette situation est beaucoup moins probable sur les téléphones plus chers.
• Vérifiez si Google Play Protect est activé.
• Certains cybercriminels essaient d’ajouter un nouvel appareil qu’ils contrôlent à la liste des appareils liés dans l’application de messagerie de la personne ciblée comme WhatsApp ou Signal. De cette façon, tous les messages que la personne ciblée envoie et reçoit sont également copiés sur l’appareil du cybercriminel. Cette attaque est généralement causée par un cybercriminel ayant un accès physique direct plutôt que par un logiciel malveillant, mais la recherche d’appareils liés non reconnus dans WhatsApp, Signal, Telegram et d’autres messageries devrait également être un élément clé du processus de triage.

Il convient de noter que les configurations de sécurité varient entre les différentes versions d’iOS et d’Android. Les versions plus récentes d’iOS, par exemple, exigent que les profils soient signés numériquement, ce qui devrait compliquer la tâche pour les cybercriminels qui voudraient les exploiter. De même, de nombreuses mises à jour logicielles modifient la façon dont les systèmes gèrent les autorisations ou les notifications. En règle générale, les versions successives d’iOS et d’Android ont tendance à avoir des exigences de sécurité plus strictes en matière d’automatisation, d’applications et d’autorisations.

Pratique

Windows et macOS

1. Windows : Consultez le Centre de sécurité Windows Defender. Remarquez-vous quelque chose de suspect ?
2. macOS : utilisez la ligne de commande pour vérifier si Gatekeeper est activé.

Android et iOS

1. Parcourez plusieurs de vos applications et vérifiez les autorisations dont elles disposent. Y a-t-il des applications que vous ne reconnaissez pas ou qui demandent un trop grand nombre d’autorisations ? Sur Android : certaines de ces applications que vous ne reconnaissez pas sont-elles préinstallées ?
2. iOS uniquement : vérifiez votre appareil pour détecter les éventuels raccourcis et profils installés que vous ne reconnaissez pas
3. Utilisez un moteur de recherche pour trouver le texte intégral d’un message texte que vous avez reçu qui pourrait avoir l’air suspect. Si vous n’avez pas de messages texte étranges ou suspects, recherchez un message standard de votre opérateur réseau. Combien d’informations pouvez-vous trouver en ligne sur le numéro qui a envoyé ce message et sur le message lui-même ?

Contrôle de compétence

Android et iOS

1. Android : lisez la documentation Android sur les autorisations. Il n’est pas nécessaire que vous compreniez le code source, l’objectif est simplement d’acquérir une compréhension générale du fonctionnement des autorisations.
   Pensez à ce qu’une application malveillante pourrait faire et aux données qu’elle pourrait extraire avec les autorisations décrites dans la spécification Android, ainsi qu’aux mesures prises par le système d’exploitation pour minimiser le risque d’abus des autorisations. Dressez une liste de cinq à dix actions qu’une application malveillante disposant d’autorisations étendues sur le système pourrait faire, et notez deux à trois situations indésirables que les meilleures pratiques en matière d’autorisations d’application pourraient atténuer.
   Si vous travaillez avec un pair ou un mentor, discutez de la liste que vous avez compilée ci-dessus et demandez-lui de vérifier que vous avez bien compris les autorisations des applications, la manière dont elles pourraient être utilisées abusivement et les mesures d’atténuation Android qui peuvent empêcher ce type de situation.
2. iOS : lisez la description du mode de verrouillage iOS, un paramètre spécial pour les personnes à haut risque d’attaques ciblées, en particulier par le biais de logiciels espions mercenaires. Énumérez quelques réponses aux questions suivantes. Notez qu’il n’y a pas de bonnes ou de mauvaises réponses exactes à ces questions, car le mode de verrouillage, comme tous les autres mécanismes de sécurité, vise un équilibre délicat entre la sécurité et la convivialité. Certaines de ces questions exigent une connaissance plus approfondie des attaques antérieures contre iOS (nous encourageons les participants à rechercher « jailbreaking » lors de la recherche sur le sujet) et pourraient nécessiter une recherche plus approfondie.
   1. Pourquoi le mode de verrouillage bloque-t-il la plupart des pièces jointes sur les messages Apple ? Pourquoi ne les bloque-t-il pas sur des applications telles que WhatsApp ?
   2. Pouvez-vous penser à une raison pour laquelle le mode de verrouillage limite certaines fonctionnalités de navigation Web ?
   3. Le mode de verrouillage, une fois activé, ne permet pas l’installation de profils personnalisés. Pourquoi pensez-vous que les profils qui ont été installés avant que l’utilisateur active le mode de verrouillage sont toujours autorisés à fonctionner ?

Si vous travaillez avec un pair ou un mentor, discutez de vos réponses aux questions ci-dessus et demandez-lui de vérifier que vous avez compris le mode de verrouillage.

Ressources d’apprentissage

Notes