L’analyse de RAM dans le contexte d’investigation d’un incident avec le logiciel Volatility

Titre Conférencier
Evan Wagner
18 Nov 2019
13:15 - 13h55
Room C

L’analyse de RAM dans le contexte d’investigation d’un incident avec le logiciel Volatility

Conférence en anglais

De zéro à Yara avec Volatility Framework. L’analyse de la mémoire peut vous aider à combler les lacunes de votre couverture si vous n’avez pas Sysmon ou une solution EDR coûteuse et que vous souhaitez obtenir des arbres d’exécution de processus, des poignées de fichiers ouvertes, des mutex, des lignes de commande exécutées, des dossiers explorés et bien plus encore. Dans cet exposé, je vais donner quelques informations sur l’outil, sa fourchette Rekall et la place qu’ils occupent tous les deux. Ensuite, nous discuterons de l’acquisition de mémoire, des formats supportés et de la façon de sélectionner les bons profils de construction d’OS. L’utilisation de base du plugin sera transmise pour afficher les informations utiles et pour vider les fichiers/exécutables de processus intacts afin d’effectuer une analyse plus poussée. Ensuite, je démontrerai les techniques que j’utilise pour répondre aux alertes et identifier les logiciels malveillants et les comportements à partir d’indicateurs. Enfin, je donnerai des exemples sur la façon d’écrire des règles de Yara et de scripter des commandes de Volatilité pour enrichir les données et ensuite les visualiser pour en faciliter la consommation par les analystes.