Analyse inforensique

Objectifs

Analyse inforensique

L'analyse inforensique, aussi dite post-mortem, définit l'ensemble des méthodes de rétrospection faisant suite à un incident de sécurité.

Un incident de sécurité peut prendre des formes très diverses : connexion réseau non conforme, fuite de données, altération d'un système, alerte en provenance d'une solution de sécurité, conflits humains, etc. Il peut également être non avéré, auquel cas les conclusions de l'analyse établiront qu'il s'agit d'un faux-positif.

Le premier objectif de l'analyste consiste à identifier et évaluer l'ampleur d'une menace. Suite à cette démarche, il préconise éventuellement des mesures d'urgence afin d'en limiter la propagation.

Ensuite, il s'attache à comprendre la menace : scénario d'apparition, impacts exacts, source, etc. Enfin, l'analyse permet généralement d'identifier la vulnérabilité exploitée, et de guider le client vers la meilleure correction.

L'analyse inforensique se traduit en une démarche opérationnelle très rigoureuse. En effet, les preuves numériques, collectées puis analysées, sont par nature des données fragiles (effacement ou altération accidentelle) et volatiles (mémoire vive, journaux).
Or, l'analyse inforensique doit être indiscutable, basée sur des faits vérifiables et reproductibles. De plus, les conclusions d'un rapport inforensique peuvent être utilisées dans un cadre juridique. Il est donc essentiel que l'intégrité et la confidentialité des données soient toujours assurées tout au long de l'investigation.

Forte de son expertise dans les menaces informatique et de sa connaissance des méthodes utilisées par les attaquants, Sysdream est en mesure d'identifier et de comprendre les scénarios de compromission. Sysdream est aussi capable, grâce à son expertise dans le domaine de la rétro-ingénierie, d'analyser en profondeur les logiciels malveillants ou virus potentiellement découverts pendant l'investigation.

Demande d'informations

Méthodologies

Notre méthodologie est calquée sur les standards du domaine de l'investigation numérique légale. Que notre travail soit utilisé ou non dans le cadre d'une expertise juridique, le suivi de ce processus est la garantie de produire un travail scientifiquement solide, conforme et reproductible :

  • Préparation de la mission
  • Identification de la menace
  • Collecte des preuves numériques
  • Préservation des preuves
  • Analyse inforensique
  • Rédaction du rapport et présentation des conclusions

Il faut bien noter que ces étapes peuvent être répétées sous forme de plusieurs cycles au cours d'une mission, en fonction des avancées de l'investigation.


Livrables

Le rapport inforensique détaille toutes les conclusions de l'analyse : l'environnement de travail et le descriptif des preuves manipulées, les indices découverts ou, lorsque c'est pertinent, leur absence. Lorsque c'est pertinent, le rapport restitue l'ordre chronologique des faits constatés et s'attache à restituer un scénario.

Nos conclusions sont strictement basées sur des faits. En aucun cas, nous n'émettons d'hypothèse qui ne seraient pas supportées par des preuves, ni ne portons d'accusation. Notre démarche est une expertise scientifique, neutre et intègre, qui ne laisse pas transparaître les sentiments ou les opinions de l'analyste.

Notre neutralité est la garantie de la respectabilité et de la recevabilité juridique de notre travail. Le rapport est remis avec les preuves numériques de manière sécurisée (chiffrement PGP, AES), de manière concertée avec notre mandataire.


Cas d'études

Violation de politique de sécurité

Un trafic réseau anormal a été détecté à partir d'un poste bureautique de l'entreprise. Pendant plusieurs jours, une utilisation élevée de la bande-passante a été constatée, notamment vers des adresses IP externes à l’entreprise. L'entreprise souhaite savoir s'il s'agit d'un poste compromis, ou d'une exfiltration volontaire de données de la part de l'utilisateur.

Dans ce type de situation, l'analyse va être effectuée sur le poste suspect et les journaux des équipements réseau.
Nous établissons, en correspondance avec le mandataire, la meilleure façon de saisir l'équipement. Les journaux de l'infrastructure (pare-feu, routeurs) sont également mis à notre disposition par les équipes techniques. Nous effectuons une analyse du disque dur qui montre rapidement l'absence visible de logiciels malveillant ou de fichiers suspects. Néanmoins, l'analyse des traces d'utilisation sur le système d'exploitation nous apprennent que l'utilisateur a pris de nombreuses précautions pour effacer ses traces. L'essentiel de ses manipulations ont de plus été effectuées à partir d'une clé USB personnelle, sur laquelle il stockait ses logiciels et ses fichiers.

Les traces d'ouverture et d'exécution nous permettent d'établir une liste des logiciels utilisés et des fichiers échangés.
Nous démontrons ainsi que l'utilisateur a contourné la politique de sécurité de l'entreprise pour se livrer à des activités de partage et de téléchargement illégal. Il n'y a pas eu exfiltration de données métiers de l'entreprise, mais simplement un usage non conforme de son poste de travail.

Intrusion détectée sur un serveur

L'intrusion sur une partie d'un système d'information est un autre classique de l'analyse inforensique.
Le site Internet vitrine d'une organisation a été compromis. Du code malveillant (iFrames, Javascript) a été découvert au sein du code source de l'application. Certaines pages du site proposent aux visiteurs de télécharger et installer un exécutable malveillant.
Suite au signalement de certains utilisateurs, les administrateurs constatent la compromission du serveur et font appel à nos services.

La première étape de notre travail consiste à comprendre la nature de la compromission. Nous apprenons rapidement qu'il s'agit d'un serveur hébergé chez un prestataire externe, sur une plate-forme virtualisée. Il s'agit d'une plate-forme isolée, sans lien avec le système d'information interne de l'organisation. Nous en déduisons que l'attaquant, probablement en provenance d'Internet, est simplement parvenu à prendre le contrôle de l'application ou du serveur via une faille.
Notre étape d'acquisition est donc aisée : récupérer une copie du disque du serveur et un instantané de la mémoire vive. Le serveur étant une machine virtuelle, l'acquisition peut se faire en récupérant simplement deux fichiers : le fichier correspondant au disque, et le fichier de la mémoire lorsque la machine est à l'état suspendu.
Nous organisons la saisie grâce aux accès fournis par les administrateurs.
Les copies sont immédiatement classées, horodatées et sauvegardées avec leurs empreintes cryptographiques destinées à en garantir l'intégrité.
Nous nous réservons un exemplaire supplémentaire de ces copies comme supports de travail pour notre analyse.
Nous menons nos investigations selon une méthode de recherche dite « en spirale ». Nous commençons par dresser un aperçu global de l'état du serveur, afin d'avoir une idée de la gravité de la menace. Puis, progressivement, nous rentrons dans les détails, et notamment vers les pages où la compromission a pu être constatée.

Notre aperçu global se base d'abord sur l'analyse de la mémoire vive et nous permet de penser qu'il n'y a pas de processus suspect en cours d’exécution, de connexion réseau suspect, ni de trace de présence d'un logiciel malveillant de type rootkit.
Sur le disque, nous récupérons en priorité les journaux du système et des services, les fichiers de configuration et le code source de l'application. Nous retrouvons rapidement le code malveillant, ainsi que, grâce aux journaux, les requêtes ayant abouti à l'édition des pages légitimes. Il s'avère que le compte d'un administrateur du site a été utilisé. Bien que cela ne puisse pas être prouvé avec les supports en notre possession, nous émettons l'hypothèse que le compte en question a été compromis via une des vulnérabilités d'injection de code (XSS) présentes en plusieurs points du site. Ce type d'attaque, ciblé contre les utilisateurs, permet précisément de dérober des sessions actives.

Compromission d'un système d'information

Le client constate la compromission de son serveur d'annuaire, Active Directory. Un compte administrateur a été créé à l'insu des équipes un mois auparavant.
Ce type de situation est problématique, car l'attaquant a eu des droits élevés pendant longtemps, et ce sur potentiellement presque toutes les machines du parc. Il a donc pu aisément effacer ses traces et conduire de nouvelles actions malveillantes.

L'objectif est de récupérer des traces d'activité, afin d'essayer de comprendre les motivations de l'attaquant et de l'identifier aussi précisément que possible. Nous accompagnons aussi le client sur la mise en place, progressive et sécurisée, d'une nouvelle infrastructure. Nous recommandons de la reconstruire sur un nouveau réseau, isolé, dans lequel les utilisateurs et les services sont progressivement déplacés ou réinstallés.

L'analyse des journaux d'équipements réseau nous met rapidement sur une piste, en raison d'un pic de trafic anormal sur plusieurs journées en provenance du serveur de fichier interne vers un serveur hébergé à l'étranger. Nous pouvons en déduire une importante fuite de données métier.
Par ailleurs, la présence de fichiers binaires malveillants sur un serveur Web attire notre attention. Ceux-ci ont été déposés et exécutés via une vulnérabilité dans un formulaire de dépôt de fichiers. L'étude de ces fichiers nous montre qu'il s'agit de chevaux de Troie, c'est-à-dire d'outils de prise en main à distance.

Ensuite, nous pouvons supposer qu'un certain laxisme dans l'exploitation de l'infrastructure Microsoft a permis à l'attaquant de rebondir sur d'autres serveurs, puis sur le contrôleur de domaine après avoir intercepté le compte d'un administrateur.
Nous avons pu identifier un certain nombre d'adresses IP internationales impliquées dans l'attaque, qui sont probablement des plates-formes de rebond anonymes. Seul un recours juridique pourrait permettre l'identification précise des attaquants.

Rétro-Ingénierie

Un éditeur de logiciels nous contacte car il a découvert, publié sur des sites de partage, un outil permettant de casser la protection d'une de ses réalisations.

Notre travail consiste ici à récupérer l'outil et à en comprendre son fonctionnement. Pour ce faire, nous désassemblons le binaire en langage machine (assembleur). Nous devons ensuite interpréter ce code pour en restituer le fonctionnement dans un pseudo-langage, plus compréhensible.
L'analyse du code permet aussi de récupérer quelques indices sur l'auteur : environnement de travail, langue, etc.
Nous pouvons surtout comprendre, au terme de l'analyse, quelle vulnérabilité a été exploitée par l'outil illégal, et de proposer à l'éditeur un correctif approprié.