APT ou AVT à chacun son intrus préféré ! #OSD14

Partager

Tout le monde connait les APT (Advanced Persistent Threat), ces menaces qui , comme des sangsues viennent s’accrocher aux postes de travail d’une entreprise et y restent collées de façon durable tout en se déplaçant de façon latérale afin de toucher d’autres victimes.

Les APT c’est bien mais les AVT (Advanced Volatile Threat) c’est mieux ! Enfin, c’est moins bien pour ceux qui sont à la recherche de ces taupes numériques.

Voir la vidéo directement sur Youtube

AVT versus APT

A la différence des APT, les AVT sont fugaces. Elles ont pour caractéristique de ne rien écrire sur les disques et autres supports de stockage de données. Une AVT (Advanced Volatile Threat) est une APT mais tout en mémoire vive (RAM). Ne rien écrire sur disque leur permet de rester sous les radars des antivirus et autres systèmes de détection classiques.

une AVT s'attrape typiquement par un drive by download

Une AVT, c’est comme toutes les « petites véroles numériques » (expression qui est sous copyright de moi-même – petit aparté - ) elle se choppe typiquement via un Drive-By-Download… Donc elle arrive à « persister » entre deux redémarrages… il suffit qu’elle soit implantée sur le bon site qui est consulté régulièrement par la victime.

Comme tout est en mémoire, faire du forensic sur une AVT est plus compliqué. Outils et méthodologie spécifiques seront donc de rigueur…. mais ça c’est une autre histoire !!!!

Jean-François (aka Jeff) Audenard

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)