Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus

Process Hacker : présentation d'un gestionnaire de tâches avancé

Cet article présente Process Hacker. Cet outil est populaire chez les professionnels de la sécurité qui analysent les malwares, car il indique l’activité en temps réel des processus et fournit une multitude d’informations techniques sur le comportement d’un processus donné.
Neil Fox
5 minute de lecture
Publié 15 juin 2021
Dernière mise à jour 13 octobre 2023

Process Hacker est un excellent outil pour surveiller et étudier les processus créés par un malware. Cet outil d’analyse des malwares est apprécié des professionnels de la sécurité, car il peut extraire une multitude d’informations auprès des processus en cours d’exécution sur un appareil.

Cet article aborde les sujets suivants :

Qu’est-ce que Process Hacker ?

Blog_Design_ProcessHacker_20210525_V1_fr-FR2

Process Hacker est un outil open source qui vous permet de connaître les processus qui sont exécutés sur un appareil, d’identifier les programmes qui consomment des ressources CPU et de voir les connexions réseau associées à un processus. 

Ce sont ces fonctionnalités qui font de Process Hacker un outil idéal pour surveiller les malwares sur un appareil. En déterminant les processus qui sont créés et en identifiant les connexions réseau et les chaînes intéressantes dans la mémoire, il est possible de recueillir de précieux indicateurs de compromission (IOC) lors du triage d’une infection par un malware.

Les adresses IP et les domaines malveillants sont des atouts considérables lors de la réponse aux incidents. L’utilisation de Process Hacker pour recueillir ces informations permet d’identifier les hôtes compromis et de mettre en place des blocages proactifs afin de contenir une infection par malware.

L’outil Process Hacker est-il sûr ?

L’utilisation de Process Hacker est sûre à 100 %. Il est possible que certains fournisseurs d’antivirus le considèrent comme un « outil de piratage ». Pour cette raison, l’utilisation de Process Hacker peut déclencher des alertes dans les outils de sécurité de certaines organisations. Cela ne signifie pas qu’il contient un virus.

La valeur de hachage MD5 du fichier exécutable Process Hacker que j’utilise dans mon laboratoire d’analyse des malwares est « B365AF317AE730A67C936F21432B9C71 ».

Si vous recherchez cette valeur de hachage dans VirusTotal, vous verrez que certains fournisseurs d’antivirus l’ont identifiée comme malveillante :

Ainsi, si votre organisation utilise Symantec comme antivirus, Process Hacker sera considéré comme un outil malveillant et le fichier sera mis en quarantaine. Si vous n’utilisez pas l’un des antivirus ci-dessus mais une solution EDR, l’outil peut également être considéré comme malveillant, car 14 fournisseurs le classifient comme malveillant sur VirusTotal.

Cas d’utilisation et fonctionnement de Process Hacker

L’écran ci-dessous s’affiche par défaut lorsque vous lancez Process Hacker sur un appareil :

Le premier onglet, « Processes » (Processus) indique les processus qui sont exécutés sur l’appareil. Il contient les informations suivantes :

  • Name : nom du processus qui est exécuté
  • PID : identifiant du processus, à savoir un nombre unique attribué au processus
  • CPU : indique la quantité de CPU consommée par le processus
  • I/O total output : débit total en E/S
  • Private bytes : octets privés
  • User name : nom d’utilisateur du compte qui a été utilisé pour lancer le processus
  • Description : description du processus

L’onglet « Processes » (Processus) utilise un code couleur pour identifier les processus répertoriés. Sélectionnez « Hacker » puis le menu « Options » pour consulter la légende des couleurs dans Process Hacker.

Le menu « Options » s’affiche.

Sélectionnez l’onglet « Highlighting » (Mise en surbrillance) pour savoir ce que chaque couleur représente :

Je ne vais pas expliquer ce que chaque couleur représente, mais cela permet d’identifier rapidement les processus système attendus et les processus packés, par exemple.

L’image ci-dessous montre les services identifiés par Process Hacker, les services exécutés en arrière-plan qui n’interagissent pas avec le bureau.

L’onglet « Services » affiche les informations suivantes :

  • Name : nom du service identifié
  • Display name : nom d’affichage du service
  • Type : type du service identifié, par exemple Driver (Pilote)
  • Status : statut du service, par exemple Running (En cours d’exécution)
  • Start type : type de démarrage, par exemple Boot start
  • Process : identifiant du service, le cas échéant

L’onglet « Network » (Réseau) est utile pour analyser les malwares, car les malwares essayent souvent de contacter l’infrastructure C2 des hackers (commande et contrôle).

L’onglet « Network » (Réseau) affiche les informations suivantes :

  • Name : nom et identifiant du processus
  • Local address : adresse locale
  • Local port : port local utilisé par le processus
  • Remote address : adresse distante à laquelle le processus se connecte
  • Remote port : port distant de la connexion réseau
  • Protocol : protocole utilisé par le processus
  • State : état de la connexion réseau identifiée
  • Propriétaire

L’onglet « Disk » (Disque) affiche des informations relatives aux fichiers sur le disque dur de l’appareil en cours d’utilisation :

L’onglet « Disk » (Disque) affiche les informations suivantes :

  • Name : nom et identifiant du processus
  • File : emplacement du fichier sur le disque
  • Read rate average : taux de lecture moyen du disque dur en temps réel
  • Write rate average : taux d’écriture moyen du disque dur en temps réel
  • Total rate average : taux total moyen de sortie en lecture et en écriture
  • I/O priority : priorité E/S
  • Response time : temps de réponse

Identifier les chaînes dans la mémoire

L’une des fonctionnalités que je préfère dans Process Hacker est la possibilité d’extraire des chaînes intéressantes de la mémoire d’un processus qui a été créé par un malware.

Lorsque j’analyse un malware, je l’exécute souvent sur une machine virtuelle dotée d’une sandbox et conçue pour exécuter des malwares en toute sécurité. Lors de cette étape de mon analyse, je m’assure que Process Hacker est exécuté afin d’examiner la mémoire d’un processus en faisant un clic droit sur le nom du processus et en sélectionnant « Properties » (Propriétés).

Dans l’exemple ci-dessous, j’ai exécuté un exemple de malware Emotet qui a créé le processus « smsfwdr.exe ».

La fenêtre suivante s’ouvre et l’onglet « General » (Général) s’affiche par défaut :

 

Sélectionnez l’onglet « Memory » (Mémoire).


Cliquez sur le bouton « Strings » (Chaînes) pour pouvoir rechercher ensuite les chaînes dans la mémoire.

Cliquez sur « OK ». Toutes les chaînes contenues dans la mémoire s’affichent pour le processus sélectionné.

Pour faciliter l’identification des indicateurs de compromission des malwares, j’utilise des expressions régulières en cliquant sur le bouton « Filter » (Filtrer) et en sélectionnant « Regex (case-insensitive) » (Expression régulière (non sensible à la casse)).

Je peux ensuite saisir un modèle d’expression régulière. Dans cet exemple, je recherche des adresses IP et j’ai utilisé l’expression régulière suivante :

(?:(?:\d|[01]?\d\d|2[0-4]\d|25[0-5])\.){3}(?:25[0-5]|2[0-4]\d|[01]?\d\d|\d)(?:\/\d{1,2})?

Toutes les chaînes qui correspondent au modèle d’expression régulière sont ensuite retournées. L’image ci-dessous contient plusieurs faux positifs, mais il y a aussi plusieurs adresses IP qui tentent de se connecter à l’infrastructure C2 des hackers sur le protocole HTTP.

Ceci est un excellent cas d’utilisation pour Process Hacker, car je peux maintenant vérifier si ces adresses IP sont bloquées par les contrôles de sécurité de mon entreprise et effectuer des vérifications afin de m’assurer qu’aucun appareil ne communique avec ces adresses IP.

Je peux également utiliser d’autres modèles d’expression régulière pour rechercher d’autres informations telles que des URL :

([A-Za-z]+://)([-\w]+(?:\.\w[-\w]*)+)(:\d+)?(/[^.!,?”<>\[\]{}\s\x7F-\xFF]*(?:[.!,?]+[^.!,?”<>\[\]{}\s\x7F-\xFF]+)*)?

Identifier le trafic réseau à partir de processus en cours d’exécution

Lors de l’analyse d’un malware, vous voudrez peut-être déterminer les connexions qui sont établies par un processus spécifique afin de comprendre le comportement du malware.

En utilisant le même malware que dans le cas d’utilisation précédent, j’ai sélectionné l’onglet Network (Réseau) et j’ai saisi à droite le nom du processus qui m’intéresse, à savoir « smsfwdr ».

Tous les autres processus sont alors masqués et Process Hacker affiche uniquement le trafic réseau pour ce processus.

Il s’agit d’un autre excellent moyen d’identifier les adresses IP C2 malveillantes ainsi que les ports locaux et de destination utilisés par les hackers.

Comment installer Process Hacker

Vous pouvez télécharger Process Hacker à partir du site Web officiel où se trouve un lien vers la page de téléchargement.

Dans la section de téléchargement, vous pouvez choisir de télécharger un fichier d’installation ou un fichier binaire portable. Dans cet exemple, j’ai choisi le fichier exécutable d’installation.

Une fois que vous avez téléchargé le fichier d’installation, double-cliquez sur le fichier exécutable et sélectionnez « Run » (Exécuter).

La fenêtre contextuelle UAC s’affiche et vous êtes invité(e) à autoriser Process Hacker à apporter des modifications à votre appareil. Sélectionnez « Yes » (Oui).

Acceptez l’accord de licence en sélectionnant « Next » (Suivant) :

Choisissez l’emplacement d’installation de Process Hacker et sélectionnez « Next » (Suivant) :

Sélectionnez les composants à installer, puis « Next » (Suivant). Tous les composants sont sélectionnés par défaut.

Choisissez l’emplacement des raccourcis du programme et sélectionnez « Next » (Suivant) :

Sélectionnez des tâches supplémentaires :

Sélectionnez « Finish » (Terminer) pour terminer l’installation et lancer Process Hacker :

Quelques réflexions pour conclure :

J’aime beaucoup Process Hacker et je l’utilise à chaque fois que j’analyse le comportement d’un malware. Si cet article vous a été utile, lisez cet article de blog où je parle de mes outils préférés d’analyse des malwares ainsi qu’un article récent sur Autoruns, qui est un excellent outil pour comprendre comment le malware essaye de rester présent sur un appareil compromis.

Si vous voulez en savoir plus sur la façon de protéger votre organisation contre les malwares, je vous conseille de lire cet article sur la protection contre les malwares et de consulter la page sur la solution de détection et de réponse aux menaces de Varonis qui a pour but de réduire considérablement le temps nécessaire pour détecter les cyberattaques et y répondre.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Déploiement rapide.
Keep reading
guide-de-l’acheteur-de-dspm
Guide de l’acheteur de DSPM
Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
derrière-la-refonte-de-la-marque-varonis
Derrière la refonte de la marque Varonis
Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
Trois façons dont Varonis vous aide à lutter contre les menaces internes
Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).