Retour aux cas pratiques CTI

Investigation d'uneCampagne de Malware

Tracez l'évolution et la distribution d'une famille de malware émergente

Voir le scénario
3-4 heures
Niveau Intermédiaire
Équipe CTI

Scénario d'Investigation

Contexte de la Mission

Votre équipe CTI a détecté une nouvelle famille de malware baptisée "ShadowCrypt" qui cible spécifiquement les institutions financières européennes. Les premiers échantillons ont été identifiés il y a 15 jours, et l'activité semble s'intensifier.

Mission : Analyser la campagne ShadowCrypt, comprendre ses mécanismes de propagation, identifier l'infrastructure de commande et contrôle, et évaluer l'impact potentiel sur l'écosystème financier européen.

Informations Initiales

  • Premier échantillon : 15 jours (banque italienne)
  • Vecteur initial : Emails de phishing ciblés
  • Cibles : Institutions financières (FR, IT, DE, ES)
  • Activité : Escalade depuis 5 jours

Outils d'Investigation

VirusTotal
Analyse d'échantillons
Hybrid Analysis
Sandbox dynamique
Joe Sandbox
Comportement détaillé
IDA Pro
Reverse engineering

Éléments d'Investigation

Échantillons de Malware Disponibles

shadowcrypt_v1.exeMD5: a1b2c3d4e5f6...
Source : Banque Intesa (Milan) •Date : 15 jours •Taille : 2.4 MB
shadowcrypt_v2.dllMD5: b2c3d4e5f6g7...
Source : Crédit Agricole (Paris) •Date : 8 jours •Taille : 1.8 MB
shadowcrypt_loader.jsMD5: c3d4e5f6g7h8...
Source : Deutsche Bank (Berlin) •Date : 3 jours •Taille : 245 KB

Infrastructure Réseau Suspicieuse

Serveurs C2
185.234.xxx.xxx
92.118.xxx.xxx
45.128.xxx.xxx
Domaines
secure-bank-update.net
financial-security.org
banking-tools.info

Méthodologie d'Investigation

1

Analyse Statique des Échantillons

  • Calculer les hash MD5, SHA1, SHA256 de chaque échantillon
  • Analyser les métadonnées (compilation, packer, imports)
  • Identifier les strings significatives et IoCs
  • Comparer avec les bases de données de malware
2

Analyse Dynamique en Sandbox

  • Exécuter dans un environnement contrôlé (Joe Sandbox)
  • Analyser les communications réseau (DNS, HTTP)
  • Surveiller les modifications système (fichiers, registre)
  • Documenter le comportement et les IoCs dynamiques
3

Cartographie de l'Infrastructure

  • Analyser les serveurs C2 et leur géolocalisation
  • Investiguer les domaines et certificats SSL
  • Identifier les patterns d'hébergement et fournisseurs
  • Tracer les connexions entre infrastructures
4

Analyse de Propagation

  • Analyser les campagnes de phishing et leurres
  • Identifier les vecteurs d'infection secondaires
  • Cartographier la distribution géographique
  • Estimer la vélocité de propagation

Livrables Attendus

Rapport d'Analyse Technique

  • • Analyse complète des échantillons
  • • IoCs extraits et validés
  • • Comportement et capacités du malware
  • • Évolution des variantes

Cartographie d'Infrastructure

  • • Diagramme de l'infrastructure C2
  • • Analyse des domaines et certificats
  • • Géolocalisation des serveurs
  • • Chronologie des activités

Évaluation d'Impact

  • • Secteurs et régions affectées
  • • Estimation des victimes potentielles
  • • Niveau de sophistication
  • • Prédiction d'évolution

Recommandations de Défense

  • • Signatures de détection
  • • Mesures d'atténuation
  • • Indicateurs de surveillance
  • • Actions d'intervention

Prêt à analyser la campagne ShadowCrypt ?

Mettez en pratique vos compétences d'analyse de malware et d'investigation d'infrastructure malveillante.

Choisir un autre cas