APP3: Flashcards
1
Q
Quelle est la faille fondamentale des courriels, par l’utilisation du protocole SMTP ?
A
Absence d’authentification et de vérification donc tout le monde peut y avoir accès
2
Q
Quelle est le type d’entête la plus importante à vérifier?
A
L’entête Received
3
Q
Quelle est le rôle de l’entête received?
A
Chaque serveur qui fait le relaimen ajoute une ligne précisant d’ou il a reçu le message et quand
4
Q
Quelle est l’utilité de l’entête received?
A
C’est l’élément le plus fiable pour remonter la chaîne des serveurs traversés et tenter de retouver l’origine du message
5
Q
Syntaxe de l’entête received?
A
Received: from <nom_hôte> ( <IP> ) by <serveur_relay> with SMTP id <ID> ; <date/heure>
6
Q
Quels sont les items importants de l’entête, qui sont à vérifier?
A
Date/Heure
Les horodatages dans Received : comparés aux heures locales, ils permettent de détecter des incohérences.
7
Q
Quels sont les problèmes avec cette entête?
Return-Path: Web@fbi.gov
Received: from nvwyu.gov (i528C1073.versanet.de [82.140.16.115])
by courriel.usherbrooke.ca
with SMTP id j1R0aU702669
for etudiant@usherbrooke.ca; Mon, 5 Nov 2007 16:00:00 -0800
From: Web@fbi.gov
To: etudiant@usherbrooke.ca
Date: Mon, 5 Nov 2007 23:03:00 GMT
Subject: You visit illegal websites
Message-ID: dea28bde431c7ce0c@fbi.gov
A
- Usurpation / incohérence de domaine : Le Return-Path et le From affichent un domaine “fbi.gov”, alors que l’adresse IP d’émission (82.140.16.115) pointe vers un service/domaine totalement différent (versanet.de), sans lien avec le FBI.
- Possible faux hostname : “nvwyu.gov” paraît très suspect, et ne correspond pas à un vrai serveur gouvernemental américain (et encore moins du FBI).
- Gap géographique / technique : On voit un TLD « .gov », censé être réservé aux entités gouvernementales US, mais résolu sur un service hébergé en Allemagne (versanet.de).
- Horodatage suspect ou incohérent : On pourrait vérifier si la date (Mon, 5 Nov 2007 16:00 -0800) concorde réellement avec un envoi légitime du FBI.
8
Q
De quelles façons peut-on se servir d’URLs (liens web) pour tromper les
gens?
A
- Typosquating
- Encodage trompeur
- Liens texte
- Bouton
- Shorteneur
- Redirection multiple
- Hameçonage
9
Q
Expliquez comment une entrée DNS de type SPF contribue à identifier des pourriels.
A
SPF (Sender Policy Framework) est un enregistrement DNS qui dresse la liste des serveurs autorisés à envoyer des courriels pour un domaine.
10
Q
Avec SPF qu’arrive-t-il si lw serveur reçoit un e-mail prétendue?
A
Compare l’IP d’envoi avec les IP/domaines autorisés par le champ SPF de XXX…
11
Q
Que veut dire si l’IP n’est pas autorisé?
A
Si l’IP n’est pas autorisée, c’est un signe fort de spam ou d’usurpation. Le serveur peut alors étiqueter ou rejeter le mail.
12
Q
Expliquez le principe de la signature cryptographique de courriels et leur validation avec une entrée DNS de type DKIM.
A
- Le serveur signe le corps avec sa clef privée
- La signature figurent dans l’entête DKIM-signature
- Le domaine publie la clef dans le DNS
- le recepteur vérifie que la clef match le contenue de l’email
13
Q
Que garantie l’utilisation du DKIM?
A
Garantit l’intégrité (pas de modification en transit) et l’authenticité du domaine expéditeur si la clé est valide.
14
Q
Expliquez comment une entrée DNS de type DMARC donne des instructions aux MTA pour la gestion de courriels indésirables.
A
Associe SPF et DKIM, et précise une politique quant à la réponse en cas d’échec d’authentification .
15
Q
Qu’arrive-t-il selon l’entrée DMARC?
A
Si un mail ne passe pas SPF ou DKIM, le MTA récepteur sait s’il doit le rejeter, le mettre en spam ou juste le signaler
16
Q
Quels sont les différents rapports DMARC?
A
- Rapports agrégés:
→renvoyé quotidiennement, volume de mail reçu
→statistique global - Rapports forensiques
→en temps réel pour chaque échec
→peuvent contenir les entête du mail incriminé
17
Q
Quelles sont les motivations principales militant en faveur d’une cyberattaque ?
A
- interet financier
- espionnage/renseignement
- Hacktivisme
- sabotage
- ramsomware
- démonstration de compétance
- guerre
17
Q
Quels sont le format des rapport DMARC format?
A
Ce sont généralement en forme XML, envoyés en pièce jointe
17
Q
Expliquer phase de reconnaissance
A
L’attaquant collecte un maximum d’informations sur la cible, souvent de façon passive (recherches sur le Web, whois, OSINT) ou active (scan de ports, fingerprinting).
17
Q
Que fait la phase d’exploitation?
A
- Une fois à l’intérieur, l’attaquant étend ses privilèges, installe des logiciels malveillants (rootkits, backdoors), collecte/exfiltre des données.
- Peut aussi utiliser la machine compromise comme pivot pour progresser dans le réseau.
17
Q
Techniques dans la phase de intrusion?
A
- Exploitation de failles : via Metasploit, scripts d’exploits connus, injection SQL, dépassement de buffer, vulnérabilités CMS.
- Phishing : envoi d’e-mails malveillants, pièces jointes ou liens piégés.
- Attaque par mot de passe sur des services exposés.
17
Q
Techniques dans la phase de exploitation?
A
- Élévation de privilèges : exploitation de vulnérabilités locales, vols de tokens ou de hash.
- Mouvements latéraux : pivot, utilisation de Mimikatz, reconnaissance du réseau interne.
- Installation de rootkits ou de backdoors : conserver un accès persistant.
- Exfiltration : copier et envoyer les données (via FTP, HTTP, DNS tunneling, etc.).
17
Q
Quelles sont les phases d’une cyberattaque ?
A
- Reconnaissance (ou “recon”)
- Intrusion
- Exploitation (ou post-exploitation)
- Effacement (ou dissimulation des traces)
18
Q
Objectif de la phase de reconnaissance?
A
Déterminer failles potentielles, technologies utilisées, comptes existants, réseau en place.
18
Techniques dans la phase de effacement?
* Nettoyage de logs : suppression ou modification dans /var/log, Event Viewer Windows, etc.
* Suppression de binaire malveillant ou masquage (renommage).
* Camouflage : usage de rootkits ou d’outils modifiant la vue du système (hooking d’appels système).
18
Techniques dans la phase de reconnaissance?
- Passif: OSINT (recherche Google, réseaux sociaux, whois, LinkedIn), scrutation des fuites de données.
- Actif: : Scan de ports (Nmap), bannerdetection, scan de vulnérabilités (Nessus), analyse d’architecture (traceroute, netdiscovery).
18
Que fait la phase d'intrusion?
- L'attaquant prend pied sur un système
- Exploite un evulnérabilité
18
Que fait la phase d'effacement?
- L’attaquant efface ou modifie les logs et traces afin de rendre l’intrusion moins détectable.
- Cette étape inclut la suppression d’indices d’infection et la mise en place de mécanismes persistants discrets.
18
En quoi une guerre cybernétique est différente d’une cyberattaque apolitique?
- Enjeu géopolitique
- Ressources et ampleur
- Objectifs
19
Quel est le fonctionnement de base d’un écosystème de publicité ?
quand un internaute visite un site, ce site (éditeur) appelle un ad exchange pour mettre aux enchères l’emplacement publicitaire ; le plus offrant gagne l’affichage. L’annonceur paye alors pour l’impression, qui est censée être vue par un “vrai” internaute.
19
Que ciblait les auteurs Methbot?
Methbot ciblait la génération massive de fausses impressions vidéo (publicités vidéo haute valeur). Les opérations clés :
19
Quelles sont les étapes sur lesquelles les auteurs Methbot se sont concentrés ?
1. Usurpation d'identité
2. Fausse audience
3. Monétisation par l'écosystème
4. Infrastructure / IP
20
Comment Methbot évite d’être détecté comme étant un faux éditeur de publicité ?
1. Usurpation de domaines premium
2. Fausses pages Web
3. Adresses IP “propres”
4. Simulation du comportement utilisateur
5. Contournement des filtres
21
Comment Methbot génère le faux trafic d’écoute ?
1. Botnet distribué
2. Multiples requêtes
3. Impressions “légitimes”
4.Volume massif
22
Qu'est-ce que Methbot?
Système de fraude publicitaire hautement automatisé : usurpation de domaines premium, simulation d’utilisateurs humains, grande infrastructure d’IP et serveurs pour produire en masse des “vues” de pubs vidéo, tout en trompant les mécanismes de détection habituels
23
Quelles sont les noms des deux groupes soupçonnés d’ingérence dans l’élection présidentielle américaine de 2016 ?
Fancy Bear (APT28) et Cozy Bear (APT29), deux groupes APT (Advanced Persistent Threat) soupçonnés d’être affiliés à des services de renseignement russes.
24
Selon le site MITRE ATT&CK, qui seraient derrière ses groupes ?
* APT28 (Fancy Bear) : associé à la GRU (Direction générale du renseignement de l’État-Major des forces armées russes).
* APT29 (Cozy Bear) : associé au SVR ou au FSB (services de renseignement étrangers russes).
* Sur la base des sources MITRE ATT&CK, ces groupes sont catégorisés comme acteurs sponsorisés par l’État russe.
*
25
Quelle est la finalité présumée de la cyberattaque ?
* Influencer l’élection présidentielle américaine de 2016, notamment en piratant, puis exfiltrant et divulguant des e-mails, documents et communications internes du parti démocrate (DNC, Clinton campaign).
* Entraîner une déstabilisation politique, semer la confusion ou avantager un autre candidat aux élections.
*
26
Quelle est la cyberattaque utilisée par Fancy Bear ?
* Fancy Bear (APT28) s’est appuyé principalement sur du spearphishing ciblé, des usurpations d’identités en ligne, et l’exploitation de failles publiées (ex. vulnérabilités 0-day ou creds volés).
* Ils sont réputés pour la compromission du DNC en 2016 via un lien de réinitialisation de mot de passe factice, conduisant les victimes à divulguer leurs identifiants.
27
Quel est l’avantage d’utiliser le protocole ICR ?
1. Simplicité : Un canal IRC peut diffuser rapidement des commandes à des milliers de bots connectés.
2. En temps réel : L’opérateur envoie une instruction dans le “channel”, tous les bots la reçoivent immédiatement.
3. Facile à mettre en place : Les clients IRC sont légers, le protocole est peu surveillé au départ.
28
Quelle est la cyberattaque utilisée par Cozy Bear ?
* Cozy Bear (APT29) a aussi utilisé spearphishing, mais avec un style plus furtif, privilégiant le long terme.
* Ils sont reconnus pour s’infiltrer longtemps dans des organisations gouvernementales ou diplomatiques (avec des backdoors custom, ex. “CosmicDuke” ou “MiniDuke” par le passé).
* Pour l’élection 2016, Cozy Bear aurait accédé au DNC déjà en 2015 et maintenu un accès persistant via malwares et tunnels cryptés.
*
28
Quelle est la campagne Grizzly Steppe ?
* Grizzly Steppe est le nom de code donné par le DHS/FBI à l’activité malicieuse attribuée aux services russes (Fancy Bear & Cozy Bear) autour de l’élection 2016.
* Le rapport JAR-16-20296 (2016) décrit les indicateurs de compromission (IoC) et les TTP (Techniques, Tactiques, Procédures) d’APT28 et APT29.
*
29
Quel est l’impact présumé sur la campagne présidentielle ?
* Divulgation publique de milliers d’e-mails et documents internes (via Wikileaks ou d’autres plateformes).
* Dommages à la réputation, propagation de polémiques et désinformation médiatique, potentiellement favorables à l’adversaire politique.
* Perte de confiance des électeurs dans l’intégrité du processus électoral.
*
29
Dans un botnet que sont les bots?
Des ordinateurs / serveurs infectés, exécutant un logiciel malveillant qui permet d’accepter les commandes du bot herder.
30
De quoi est composé un botnet ?
1. Les bots (machines zombies)
2. Le (ou les) serveur(s) C&C (“Command & Control”)
3. Le bot herder (opérateur du réseau)
4. Infrastructure d’hébergement
30
Qu’est-ce qui différencie un botnet d’un autre genre d’intrusion ?
* Dans un botnet, un grand nombre de machines infectées (bots) sont contrôlées simultanément par un seul opérateur (le “bot herder”).
* Contrairement à une intrusion classique (souvent centrée sur 1 ou quelques machines), un botnet vise un contrôle distribué de milliers (voire millions) d’hôtes compromis pour exécuter des actions massives (spam, DDoS, fraude publicitaire, etc.).
30
Qui est Guccifer 2.0 ?
* Guccifer 2.0 est un alias (ou “persona”) apparu en ligne prétendant être un “lone hacker” roumain, revendiquant le piratage du DNC.
* Les agences US soupçonnent qu’il s’agit en réalité d’un couvert pour Fancy Bear / GRU, utilisé pour fuiter et promouvoir les documents volés.
* Le nom “Guccifer 2.0” fait allusion à “Guccifer” (un vrai hacker roumain, distinct), mais les analyses (langue, horaires, IP) pointent vers la Russie.
31
Dans un botnet que fait l'infrastructure d'herbergement?
Parfois des serveurs “proxy” ou “relais” pour dissimuler l’emplacement du C&C et rendre le botnet plus résilient (Fast-flux DNS, par exemple).
31
Dans un botnet que sont les serveurs?
Point(s) central(aux) depuis lesquels l’attaquant envoie ses instructions aux bots et où les bots font éventuellement leurs rapports.
32
Quelles sont les données acquises par les bots et transmises au serveur de C&C ?
* Identifiants bancaires (login/mot de passe, numéros de compte).
* Informations de cartes de crédit (numéro, date d’expiration, CVV).
* Identifiants de connexion à divers services (webmail, sites d’e-commerce, réseaux sociaux, etc.).
* Identifiants de clients FTP (et parfois IM, mail client)
32
Dans un botnet que fait le botherder?
La personne (ou le groupe) qui administre la plateforme C&C, gère le déploiement du malware, planifie les attaques, etc.
33
Quelles sont les tâches possibles des bots ?
* Spam / Phishing : E
* Attaques DDoS
* Exfiltration de données
* Fraude publicitaire (ex. Methbot) :
* Relay / Proxy
* Crypto-minage :
* Propagation de malware
33
Habituellement, par quel protocole le bot herder communique-t-il avec les zombies ?
Historiquement, IRC (Internet Relay Chat) a été largement utilisé pour le C&C,
34
Qu'est-ce que Mebroot?
Mebroot est un rootkit s’installant dans le Master Boot Record (MBR), avant même le chargement de l’OS.
34
Quelles sont les neuf étapes du cycle de vie d’un bot ?
1. Infection
2. Informer le Herder
3. A-V
4. Sécurisé (ex:rootkit)
5. Écouter des commandes
6. Exécuté
7. Rapporter des résultats
8. s'effacer
34
Décrivez la procédure d’installation d’un bot dans le réseau Torpig
1. Infection initiale
2. Installation de Mebroot
3. Contact du serveur Mebroot
4. Injection de Torpig
5. Callback Torpig
35
À quoi sert Mebroot dans l’opération de Torpig ?
1. Il installe et met à jour les modules malveillants (dont Torpig) sur la machine infectée.
1. Il assure la persistance, car en modifiant le MBR, la machine demeure compromise même si certains fichiers système sont nettoyés.
1. Mebroot communique régulièrement avec son propre C&C pour obtenir des instructions ou modules (Torpig en est un).
35
Décrivez le DGA (domain generator algorithm) utilisé par Torpig
* 1. Torpig calcule régulièrement (par ex. chaque semaine/jour) un ou plusieurs noms de domaine “aléatoires” à partir d’une fonction pseudo-aléatoire (se basant sur la date, l’heure, etc.).
* 1. Le bot essaie de se connecter à ces domaines pour trouver son serveur C&C.
35
Quelle est le but de DGA par Torpig?
* 1. But : rendre plus difficile le blocage du botnet. Si un domaine est saisi (sinkholed ou blacklisté), Torpig passera au prochain domaine “généré” à la date suivante.
36
Quelle faille a permis de prendre possession de Torpig ?
* Les chercheurs ont anticipé les noms de domaine générés par le DGA avant que les opérateurs légitimes de Torpig ne les enregistrent.
* En préréservant (ou en enregistrant) le domaine C&C correspondant à la date, ils ont pu rediriger le trafic des bots vers leurs propres serveurs (“sinkhole”).
* Ainsi, lorsque les bots cherchaient à contacter le C&C sur ce nom de domaine, ils se connectaient au serveur contrôlé par les chercheurs, qui ont pris le contrôle (au moins temporaire) du botnet.
*
37
Comment les auteurs ont perdu le contrôle du botnet ?
* Les vrais opérateurs du botnet ont réalisé qu’ils n’avaient pas enregistré un nom de domaine crucial à temps ou qu’il avait été “détourné” par les chercheurs.
* Après que les chercheurs eurent eu accès au botnet pendant ~10 jours, les botmasters ont modifié l’infrastructure (changements de domaines, Mebroot mis à jour, etc.) pour reprendre la main.
* Finalement, le botnet a migré vers d’autres serveurs C&C ou vers une version modifiée du DGA, faisant que les bots ne contactaient plus le domaine sinkhole détenu par les chercheurs.
38
Qu'est-ce que Torpig?
Torpig est un “module” spécialement dédié au vol de données, distribué par Mebroot (qui contrôle le MBR).
39
Quel est le principe d’un Fast-flux DNS ?
Le domaine pointe vers différentes adresses IP qui changent très fréquemment
Ainsi, quand un client résout le nom de domaine, il obtient l’une des IP parmi la liste, et cette liste est régulièrement mise à jour.
40
Quel est le principe d’un Fast-flux DNS double ?
* En plus de faire tourner les adresses IP des nœuds répondant (la “couche proxy”), on fait également tourner l’adresse (ou la liste d’adresses) du nameserver (l’autorité DNS).
* Autrement dit, non seulement le site malveillant a une liste de machines zombies qui change souvent, mais le DNS lui-même (le NS record) est hébergé sur des hôtes qui changent aussi rapidement.
41
Quelle est l'objectif d'un fast-flux simple?
Rendre le blocage ou la localisation du serveur malveillant plus difficile, puisqu’il y a un roulement constant d’hôtes compromis servant de proxy ou de serveur (souvent pour du phishing, spam ou hébergement illégal).
42
Quelles sont les conditions préalables qui permettent l’utilisation d’un tel principe?
- Contrôle d’un grand nombre d’hôtes
- Autonomie sur la gestion DNS
- Infrastructure d’automatisation
- Faible TTL (Time-To-Live DNS)
43
D’où vient le mot rootkit ?
Historiquement, sur les systèmes UNIX, le compte superutilisateur s’appelait “root”. Un “root kit” était un ensemble d’outils (scripts, binaires modifiés) permettant à un attaquant d’obtenir et de conserver les privilèges “root” sur une machine compromise.
44
Quelle en est la définition actuelle de rootkit ?
* Un rootkit est un logiciel malveillant (ou un ensemble de techniques/outils) permettant à un attaquant de cacher sa présence sur un système et de maintenir des privilèges élevés.
* Il peut s’implanter au niveau utilisateur (userland), au niveau noyau (kernel-land) ou même avant le système d’exploitation (bootkit, firmware).
45
Est-ce qu’un rootkit sert toujours à des fins malicieuses ?
* pas intrinsèquement.
* Un rootkit est avant tout une technologie de furtivité et d’élévation/maintien de privilèges.
* cependant il est largement associé à une intention malicieuse ou intrusive.
46
Quelle est la principale raison d’installer un rootkit sur un ordinateur ?
La furtivité et la persistance.
47
Quelles sont les façons d’installer des rootkits ?
1. Via une vulnérabilité d’intrusion :
2. Ingénierie sociale / phishing
3. Attaques supply-chain
4. Bootkits
5. Remplacement / Hooking de drivers légitimes
47
Que veut l'attaquant avec un rootkit?
* Conserver l’accès (persistance), même si l’administrateur prend des mesures de nettoyage basiques.
* Rester caché pour éviter la détection.
48
Expliquez la notion de canal secret (ou covert channel) ?
* Un mécanisme de communication non prévu officiellement, permettant d’échanger des informations à l’insu du système ou de l’utilisateur.
48
En quoi la stéganographie se différencie grandement de la cryptographie ?
* Cherche à dissimuler l’existence même du message. On veut qu’un observateur ne réalise pas qu’il y a un message caché.
* On camooufle le message dans un autre support (image, audio, texte), de sorte qu’il ressemble à un contenu normal.
49
Qu'est-ce qu'un bootkit?
* Sous-catégorie de rootkit, mais s’installe avant le système d’exploitation, en modifiant le Master Boot Record (MBR) ou la partition EFI/UEFI.
* Il se lance ainsi au tout début du boot, et peut ensuite injecter son code dans l’OS avant toute mesure de sécurité.
* Sa persistance est plus grande car réinstaller l’OS ne suffit pas toujours à l’éliminer (il faut réécrire le MBR ou l’UEFI).
49
Donnez des exemples d’utilisation de protocoles TCP/IP pouvant servir de canal secret
1. ICMP
2. DNS
3. Champ Options TCP
4. HTTP
50
Comment peut-on détecter un rootkit ?
- Analyse en environnement hors-ligne
- Outils de détection spécialisés (“rootkit detectors”)
- Comparaison des vues kernel vs. user
- Observation d’anomalies
51
Pourquoi est-il difficile de détecter un bootkit ?
Car il s’exécute avant même l’OS
52
Peut-on détecter un bootkit ?
- Vérification hors-ligne du MBR ou de la partition UEFI
- Outils de diagnostic spécifiques
- Secure Boot (UEFI)
53
Comment est-ce que l’UEFI peut protéger de certains bootkits ?
* Permet de vérifier la signature cryptographique de chaque composant de démarrage (bootloader, drivers EFI, kernel) avant de l’exécuter.
* Si un bootkit modifie le bootloader ou le noyau sans posséder la clé de signature, la vérification échoue et le firmware refuse de booter.
54
Qu'est-ce que le C&C?
on parle de serveur C&C (ou infrastructure C&C) lorsqu’il y a un botnet (réseau de machines zombies) ou un malware communiquant à distance.
54
Qu'est-ce que l'UEFI?
Il s’agit d’un logiciel (firmware) chargé d’initialiser le matériel d’un ordinateur et de lancer le système d’exploitation.
55
Qu’est-ce que le standard STIX 2.1
STIX (Structured Threat Information Expression) 2.1 est un format standardisé pour décrire, échanger et visualiser des informations sur les menaces (indicateurs, TTP, campagnes, acteurs, etc.)
56
À quoi sert le stix dans le contexte d’une cyberattaque ?
Il facilite la collaboration entre organisations pour détecter, prévenir ou répondre plus efficacement aux cyberattaques.
57
En quoi consiste le protocole TAXII?
Est un protocole de transport qui permet de distribuer ou de consommer des données STIX entre différents serveurs/partenaires.
58
Comment TAXI est-il relier au STIX?
Il gère la publication et la collecte des objets STIX, assurant un échange automatisé (pull/push) d’indicateurs de compromission et d’autres données de threat intelligence.
59
Qu'est-ce que NIDS?
NIDS (Network Intrusion Detection System) analyse le trafic réseau circulant entre les machines pour détecter des patterns malveillants (scans, exploits, etc.).
60
Qu'est-ce que HIDS?
Surveille l’hôte local (journaux, fichiers système, événements) pour détecter des comportements anormaux ou modifications suspectes.
Les deux se complètent : le NIDS voit ce qui se passe “sur le fil” du réseau, le HIDS repère les anomalies internes sur chaque machine.
61
Qu’est-ce qu’un honeypot?
Un honeypot est un système (ou service) volontairement exposé, conçu pour attirer les attaquants et observer leurs méthodes.
62
À quoi sert un Honeyupot?
Il sert à collecter des indicateurs (signatures, IP malveillantes), comprendre les vecteurs d’attaque, et détourner l’attention des pirates d’autres systèmes critiques.
63
Qu’est-ce qu’un IoC (Indicator of Compromise)?
Un IoC (Indicator of Compromise) est un signe observable qu’un système ou réseau a été compromis.
64
Quel est l’intérêt de configurer la politique DMARC sur “p=reject” au lieu de “p=none” ?
- p=reject signifie que tout courriel échouant les vérifications SPF/DKIM est purement bloqué par les serveurs récepteurs.
- p=none, en revanche, se contente de reporter les échecs (sans prendre de mesures). C’est utile pour tester la configuration avant d’appliquer une politique stricte.
65
Qu’est-ce qu’un “sandboxing”?
Le sandboxing consiste à exécuter un fichier suspect (malware potentiel) dans un environnement isolé (machine virtuelle, conteneur) pour observer son comportement en toute sécurité.
66
2) iptables : Différence entre DROP et REJECT
* DROP : le paquet est silencieusement jeté, sans réponse.
* REJECT : on retourne un message d’erreur (ex. ICMP port unreachable) au client, indiquant que la connexion est refusée.
67
Quelle est la différence d’usage entre STIX et TAXII ?
* STIX est un format (JSON) pour structurer et décrire des renseignements de menace (malware, IoC, campagnes).
* TAXII est un protocole (via HTTP/HTTPS) pour échanger (publier/consommer) ces objets STIX entre différents serveurs ou organisations.
68
Dans Metasploit, quelle est la différence entre un exploit, un payload et un module auxiliary ?
* Exploit : code ou module tirant parti d’une vulnérabilité pour exécuter quelque chose sur la cible.
* Payload : la charge utile (reverse shell, meterpreter, etc.) qui s’exécute si l’exploit réussit.
* Auxiliary : modules qui ne lancent pas forcément un shell, mais fournissent d’autres fonctions (scan, brute force, etc.).
69
Quels sont les trois grands types d’objets STIX 2.1?
- SDO
- SRO
- SCO
70
Quelles sont les options courantes de Nmap pour la découverte et l’analyse de ports ?
* -sn (ex-“-sP”) : Ping Scan (juste découverte d’hôtes, pas de scan de ports).
* -sS : TCP SYN scan (rapide et furtif).
* -A : détection avancée (OS detection + version + script).
* -sV : détecter la version des services.
* -Pn : ne pas faire de ping, considérer tous les hôtes comme up.
