Analyse de malware — Méthodologie
★★★★★
Analyse statique vs dynamique
STATIQUE : analyser le binaire sans l exécuter
file, strings, checksec, binwalk
Ghidra/IDA pour désassembler
PEStudio, Detect-It-Easy (DIE)
DYNAMIQUE : exécuter dans un environnement isolé
Sandbox : any.run, hybrid-analysis, cuckoo
Observer : processus créés, fichiers, réseau, registre
Outils : Procmon, Process Hacker, Wireshark Indicateurs de compromission (IOC)
# Types d IOC
Hash MD5/SHA256 du fichier
IPs / domaines C2
Chaînes de caractères uniques
Clés de registre créées
Noms de fichiers/services
Certificats TLS du C2
# Chercher des IOC sur VirusTotal
curl "https://www.virustotal.com/api/v3/files/HASH" -H "x-apikey: KEY" Techniques d'évasion courantes
Obfuscation : code encodé en base64, XOR, ou chiffré · Packing : code compressé qui se décompresse en mémoire · Anti-debug : détection de Wireshark, VMs, debuggers · Living off the land : utiliser des outils Windows légitimes (certutil, powershell, wmic) pour éviter la détection AV