Examiner les connexions réseau
PreviousExaminer les processus en coursNextExtraire des données pour permettre une analyse plus approfondie
Last updated
Last updated
Les logiciels espions devront à un moment ou à un autre transmettre les données recueillies (telles que les captures d'écran, les mots de passe, les frappes au clavier, etc.) à un emplacement distant, le serveur de commande et de contrôle. Bien qu'il ne soit pas possible de prédire quand une telle transmission se produira, il est possible que certains logiciels espions établissent une liaison permanente avec le serveur ou qu'ils se connectent assez souvent pour vous permettre de les détecter.
Pour vérifier les connexions en cours, vous pouvez par exemple enregistrer tout le trafic réseau à l'aide de Wireshark et ensuite examiner les résultats stockés. Cependant, une approche plus intéressante consiste à utiliser des outils qui non seulement surveillent l'activité du réseau, mais qui peuvent également les lier aux processus en cours. En général, vous devriez rechercher des processus inhabituels se connectant à des adresses IP suspectes.
Un outil populaire permettant cette fonction est TCPView, également issu de la suite Sysinternals de Microsoft.
L'outil est assez simple : il énumère toutes les connexions réseau établies et fournit des informations sur le processus d'origine et la destination. Vous serez probablement surpris(e) d'observer la quantité de connexions réseau actives, même avec des systèmes apparemment inactifs. Le plus souvent, vous verrez une activité réseau à partir de processus en arrière-plan, par exemple, pour les services Microsoft, Google Chrome, Adobe Reader, Skype, etc.
CrowdInspect, que nous avons présenté dans la section précédente sur l'examen des processus en cours d'exécution, est un autre outil que nous pouvons utiliser pour observer les connexions réseau actives. Les informations fournies par CrowdInspect sont très similaires à celles fournies par TCPView.
Par exemple, dans la capture d'écran ci-dessus, nous pouvons voir un processus iexplore.exe en cours d'exécution qui non seulement a été signalé comme injecté, mais semble tenter activement de se connecter à l'adresse IP distante 216.6.0.28. Vu qu'il n'y a aucun navigateur Internet visible sur le système, il est très suspect de voir des connexions réseau actives à partir de ce processus. TCPView apparaîtrait comme suit sur le même système infecté :
(Remarque : ces outils affichent les tentatives de connexion à des emplacements distants, même si l'ordinateur est actuellement déconnecté d'Internet).
Lorsque vous avez des doutes sur une connexion active, vous pouvez (de préférence à partir d'un ordinateur séparé) rechercher l'adresse IP et essayer de déterminer à qui elle appartient et si elle est connue comme étant inoffensive ou malveillante, en utilisant par exemple des outils en ligne comme Central Ops ou ipinfo. Par exemple, une simple recherche WHOIS pour cette adresse IP renvoie :
Cela suggère que le processus injecté iexplore.exe est très suspect et tente de se connecter à une adresse IP située en Syrie. En effet, pour la démonstration, nous avons utilisé une ancienne copie de DarkComet RAT qui a été utilisée en Syrie en 2011.
Même une simple recherche de l'adresse IP sur votre moteur de recherche préféré pourrait révéler des informations utiles. En outre, vous pouvez envisager d'utiliser des services de recherche de menaces tels que RiskIQ ou ThreatMiner pour voir s'ils ont des informations sur les adresses IP ou les noms de domaine que vous rencontrez.
