Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Au cœur de l'enquête : La chasse aux pirates informatiques à travers les "quatre piliers".

Michael Adjei
Directeur, Ingénierie des systèmes, EMEA
Illumio Editorial
Juillet 2, 2025
23 min. lire

C'est le milieu de la nuit, un week-end, et vous recevez un appel. On vous demande d'intervenir immédiatement sur une scène de crime, un cambriolage commis par des inconnus.  

Imaginez que vous êtes le détective principal appelé à participer à l'enquête sur ce crime.

Par où commencer ? Quels indices recherchez-vous ? Quelles questions posez-vous ? Qui interrogez-vous ? Quels outils d'investigation devez-vous utiliser ? Pourquoi ce crime a-t-il été commis et qui en est responsable ?  

Scène de crime ne pas traverser

Dans les enquêtes numériques, la scène du crime est le réseau et les actifs numériques de l'organisation victime. À la suite d'un cyberincident ou d'une violation, il peut y avoir des indices évidents. Dans d'autres cas, il peut sembler qu'il n'y en ait pas.  

Cependant, même cela peut être un indice en soi. L'absence d'indices évidents peut indiquer que vous avez affaire à des professionnels.  

Les professionnels savent très bien faire le ménage. Ils placent aussi parfois des leurres pour orienter délibérément les enquêteurs dans la mauvaise direction. C'est pourquoi le contexte est essentiel !

Les attaquants suivent une série d'étapes et de tactiques pour atteindre leurs objectifs malveillants. Cela signifie que les défenseurs doivent également appliquer des contre-tactiques pour une préparation efficace de la réponse.  

Dans cette série de blogs, nous suivrons l'exécutable illustré ci-dessous, qui a été signalé comme étant exécuté par un utilisateur de notre organisation. Nous essaierons ensuite d'étudier ce qu'il a fait lorsqu'il a fonctionné et de déterminer si ses actions ont été bonnes ou mauvaises.  

Capture d'écran de l'outil de mise à jour du système

Personnes, appareils, réseaux et données

En fin de compte, le cybermonde est une affaire de données. Les données sont souvent hébergées sur des charges de travail (que nous appellerons approximativement des serveurs pour les besoins de cet article).  

Les personnes ou les utilisateurs disposent d'appareils tels que des ordinateurs portables, des smartphones et des tablettes qui se connectent à des réseaux pour accéder aux données sauvegardées sur les charges de travail.  

Quatre piliers de la cybersécurité

Pour accéder aux données, ils utilisent généralement des applications fonctionnant sur leurs appareils. Leurs appareils se connectent à l'internet via des réseaux tels que le Wi-Fi.  

En pratique, considérons un utilisateur qui se connecte à un ordinateur portable, lequel se connecte ensuite à un réseau Wi-Fi. L'utilisateur lance ensuite une application de messagerie pour se connecter à la charge de travail ou au serveur de messagerie de son entreprise. L'utilisateur (les personnes) utilise l'ordinateur portable (l'appareil) pour se connecter à un réseau (Wi-Fi) afin d'accéder au serveur de messagerie de l'entreprise (charge de travail) pour accéder au courrier électronique (données).

Suivez les données

La motivation des défenseurs est de maintenir la confidentialité, l'intégrité et la disponibilité de leurs données.  

Le dicton populaire veut que l'on suive l'argent. L'équivalent cybernétique consiste à suivre les données.  

À la suite d'une attaque, vous devez commencer par essayer de trouver les réponses aux questions clés suivantes :

  • Incident : Que s'est-il passé ?
  • L'impact : Qu'est-ce qui est touché (ou qui est touché) ?
  • Champ d'application : Où cela se passe-t-il ?
  • Rapport : Constatations et recommandations

Toutefois, pour répondre à ces questions avec succès, nous devons disposer d'un guide sur la manière de suivre les données à travers les différents chemins et entités qui peuvent être pertinents.  

Ce faisant, une règle importante à retenir est d'éliminer tout attachement émotionnel ou toute idée préconçue. Nous ne suivons que les preuves et, à cet égard, le contexte est essentiel !

Dans l'incident en question, l'ordinateur de l'utilisateur a affiché la fenêtre contextuelle suivante peu de temps après l'exécution de l'exécutable "system updater" (mise à jour du système) :

Capture d'écran de l'outil de mise à jour du système d'administration

Nous commencerons par examiner le contexte en termes de techniques qui relèvent des indicateurs d'attaque et des indicateurs de compromission :

  • Indicateurs d'attaque (IoA) : indiquent qu'une attaque est tentée ou en cours. Dans ce cas, des schémas et des comportements suspects fournissent des indications. En voici quelques exemples :
    • Courriel d'hameçonnage  
    • Tentatives de connexion par force brute
    • Analyse de vulnérabilité externe non sollicitée
  • ‍Indicateurs decompromission (IoC) : preuves d'une attaque qui a déjà eu lieu. Dans ce cas, un comportement ou une activité malveillante connu(e) fournit des indications :
    • Impossible de se connecter pour voyager / Connexion compromise
    • Détection de hachage de logiciels malveillants connus
    • Transfert de données vers des adresses IP ou URL malveillantes connues (exfiltration)

Nous procéderons ensuite à la standardisation de notre approche à travers quatre catégories d'attention. C'est ce que j'appelle les "F4" ou "quatre fondamentaux" :

  1. Système de fichiers (stockage)
  2. Registre
  3. Mémoire (RAM)
  4. Réseau (voie de communication)

Dans ces domaines fondamentaux, nous nous intéresserons aux opérations CRUD (création, lecture, mise à jour et suppression) associées à chacun d'entre eux afin de comprendre toute intention malveillante :

  • ‍Système de fichiers(stockage)
    • Création d'un nouveau fichier : CreateFile()
    • Lecture d'un fichier existant : ReadFile()
    • Écriture dans un fichier existant : WriteFile()
  • ‍Registre
    • Ouvrir un chemin d'accès au registre
    • Lecture des valeurs des clés de registre
    • Suppression des clés de registre
  • ‍Mémoire(RAM)
    • Création d'un processus
    • Création de fils
    • Écrire dans le processus
  • ‍Réseau (voie de communication)
    • Création d'un socket réseau
    • Reliure
    • Écoute
Capture d'écran du gestionnaire de tâches

L'image ci-dessus montre un exemple de combinaison de deux des quatre principes fondamentaux dans un système d'exploitation Windows. Il montre la relation entre la mémoire et le système de fichiers.

Prochaines étapes : tracer les logiciels malveillants à travers le F4

Dans la suite de cette série de blogs, nous suivrons les preuves en utilisant les quatre opérations comme base de travail.

Nous voulons comprendre comment le système de fichiers était utilisé. Par exemple, des fichiers déposés ou des opérations sur des fichiers existants, des modifications de clés de registre, des modifications de processus ou des manipulations de la mémoire, et quelles connexions réseau ont été établies (et où sont-elles allées ou venues) ?

Nous procéderons ensuite à la cartographie des relations entre la charge utile étudiée et les quatre domaines fondamentaux.

Rendez-vous le mois prochain pour la suite de l'enquête !

Vous voulez vous préparer à ce type d'attaques ? Découvrez comment le Plateforme de confinement des brèches d'Illumio vous aide à contenir la propagation des logiciels malveillants et à empêcher les attaquants de se déplacer librement sur votre réseau.

Sujets connexes

Ransomware Containment

Articles connexes

Le cheval de Troie moderne : comment les attaquants vivent de la terre et comment les arrêter
Ransomware Containment

Le cheval de Troie moderne : comment les attaquants vivent de la terre et comment les arrêter

Découvrez comment les attaquants "vivent de la terre" en utilisant des outils de confiance tels que PowerShell et SSH et comment arrêter les menaces LOTL grâce à la visibilité et au confinement.

Read more
Se défendre contre le ransomware Conti : Pourquoi la CISA recommande d'urgence la microsegmentation
Ransomware Containment

Se défendre contre le ransomware Conti : Pourquoi la CISA recommande d'urgence la microsegmentation

Découvrez les risques auxquels les organisations sont confrontées avec le ransomware Conti et comment Illumio Zero Trust Segmentation peut aider à se défendre contre ces attaques.

Read more
Relever la barre pour les attaquants : Comment la micro-segmentation peut protéger les organisations contre les attaques de type Kaseya
Ransomware Containment

Relever la barre pour les attaquants : Comment la micro-segmentation peut protéger les organisations contre les attaques de type Kaseya

Comment la micro-segmentation aurait pu réduire la surface d'attaque et atténuer les conséquences de l'attaque de Kaseya.

Read more
Quelle est la base de la cyber-résilience ?
Cyber Resilience

Quelle est la base de la cyber-résilience ?

Découvrez comment une stratégie de confiance zéro, fondée sur la microsegmentation, peut renforcer la résilience des organisations pendant et après un cyberincident.

Read more
Faut-il s'inquiéter d'une trop grande dépendance de la cybersécurité à l'égard de l'IA ?
Cyber Resilience

Faut-il s'inquiéter d'une trop grande dépendance de la cybersécurité à l'égard de l'IA ?

Découvrez pourquoi l'IA est un atout pour la cybersécurité malgré ses faiblesses et comment la combinaison de la puissance de l'IA et de l'intelligence humaine peut atténuer les craintes d'une dépendance excessive à l'égard de l'IA.

Read more
Un cadre pour les praticiens de la sécurité pour la sûreté et la sécurité de l'IA
Cyber Resilience

Un cadre pour les praticiens de la sécurité pour la sûreté et la sécurité de l'IA

Obtenez un cadre d'action sur la sécurité de l'IA qu'un expert en sécurité espérait voir sortir du récent AI Safety Summit 2023.

Read more

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more