1. **Identification et Vérification des Processus** : Commençons par identifier tous les processus actifs. Les logiciels malveillants se déguisent souvent en processus légitimes, parfois avec de légères variations de noms pour éviter la détection. Nous devons : - Énumérer tous les processus en cours d'exécution. - Déterminer leur origine dans le système d'exploitation. - Les recouper avec les processus légitimes connus. - Souligner toutes les divergences ou conventions de nommage suspectes. 2. **Examen Approfondi des Composants du Processus** : Une fois que nous avons signalé les processus potentiellement voyous, notre prochaine étape est d'examiner les bibliothèques de liens dynamiques (DLL) et les handles associés. Les logiciels malveillants exploitent souvent les DLL pour dissimuler leurs activités. Nous devrions : - Examiner les DLL liées au processus suspect. - Vérifier l'existence de DLL non autorisées ou malveillantes. - Enquêter sur tout signe d'injection ou de détournement de DLL. 3. **Analyse de l'Activité Réseau** : De nombreux types de logiciels malveillants, en particulier ceux qui opèrent par étapes, nécessitent une connectivité Internet. Ils peuvent se connecter à des serveurs de commande et de contrôle (C2) ou exfiltrer des données. Pour découvrir ces éléments : - Examiner les connexions réseau actives et passives dans la mémoire du système. - Identifier et documenter les adresses IP externes et les domaines associés. - Déterminer la nature et le but de la communication. - Valider la légitimité du processus. - Évaluer si le processus nécessite normalement une communication réseau. - Remonter jusqu'au processus parent. - Évaluer son comportement et sa nécessité. 4. **Détection d'Injection de Code** : Les adversaires avancés utilisent souvent des techniques telles que le vidage de processus ou l'utilisation de sections de mémoire non mappées. Pour contrer cela, nous devrions : - Utiliser des outils d'analyse de la mémoire pour détecter des anomalies ou des signes de ces techniques. - Identifier tout processus qui semble occuper des espaces mémoire inhabituels ou présenter des comportements inattendus. 5. **Découverte de Rootkits** : Atteindre la discrétion et la persistance est un objectif commun pour les adversaires. Les rootkits, qui s'incrustent profondément dans le système d'exploitation, accordent aux acteurs de la menace un accès continu, souvent élevé, au système tout en échappant à la détection. Pour aborder cela : - Rechercher des signes d'activité de rootkit ou de modifications profondes du système d'exploitation. - Identifier tout processus ou pilote opérant avec des privilèges anormalement élevés ou présentant des comportements de dissimulation. 6. **Extraction d'Éléments Suspects** : Après avoir identifié des processus, pilotes ou exécutables suspects, nous devons les isoler pour une analyse approfondie. Cela implique : - Extraire les composants suspects de la mémoire. - Les stocker en toute sécurité pour un examen ultérieur à l'aide d'outils forensiques spécialisés.