Définissez les catégories courantes de malwares et expliquez comment vous classez un échantillon d'après son comportement.
Réponse courte
On classe selon ce que l'échantillon est conçu pour faire, observé à partir de son comportement et de ses capacités. Un dropper transporte et écrit une charge utile sur le disque ; un loader récupère ou injecte l'étape suivante, souvent uniquement en mémoire ; un RAT donne à un opérateur un contrôle distant interactif ; un wiper détruit les données ou les enregistrements d'amorçage sans intention de récupération ; un ransomware chiffre les fichiers et exige un paiement. Les vrais échantillons combinent souvent les rôles — un loader qui déploie un RAT — donc on décrit la chaîne de capacités plutôt que d'imposer une étiquette unique, et on associe chaque comportement aux techniques ATT&CK.
Classer un malware revient à répondre à « pour quoi faire est-ce conçu ? » afin que les intervenants puissent cadrer l'incident et prioriser. Les recruteurs posent cette question aux juniors pour confirmer que le vocabulaire est solide et que vous classez selon le comportement, et non selon l'étiquette antivirus ou le langage d'écriture.
Les catégories courantes
- Dropper. Transporte une charge utile embarquée et l'écrit sur le disque, puis l'exécute. Autonome ; la charge malveillante voyage à l'intérieur du dropper.
- Loader (stager). Récupère ou injecte l'étape suivante — souvent en la tirant d'un serveur C2 et en l'exécutant en mémoire pour rester sans fichier. Léger par conception ; tout son travail consiste à livrer autre chose.
- RAT (Remote Access Trojan). Donne à un opérateur un contrôle distant interactif : shell, transfert de fichiers, capture d'écran, keylogging, webcam. Cherchez un répartiteur de commandes et un canal C2 qui reçoit des ordres.
- Wiper. Détruit les données, les partitions ou le master boot record sans intention de récupération — destruction, pas extorsion. Souvent déguisé en ransomware pour tromper les intervenants.
- Ransomware. Chiffre les fichiers (et de plus en plus les exfiltre) et exige un paiement, dépose des notes de rançon et supprime généralement les copies shadow.
Étiquettes connexes à connaître : backdoor, cheval de Troie bancaire, ver (auto-propagation), rootkit/bootkit (furtivité/persistance) et infostealer.
Comment on classe
Examinez les capacités et le comportement : imports et appels d'API, fichiers écrits, ordres réseau, chiffrement contre destruction, persistance et propagation. Wiper contre ransomware est le piège classique — les deux chiffrent, mais un wiper jette la clé ou corrompt de façon irrécupérable, donc l'indice est de savoir si la récupération est même possible.
Le cadrage mature
Les vrais échantillons sont multi-rôles : une pièce jointe de phishing dépose un loader, qui tire un RAT, qui plus tard met en scène un ransomware. Les bons candidats décrivent la chaîne de capacités et associent chaque comportement à MITRE ATT&CK, plutôt que d'imposer une étiquette rigide unique.
Questions de suivi probables
- Comment distinguer un wiper d'un ransomware quand les deux chiffrent des fichiers ?
- Pourquoi un loader est-il souvent sans fichier ou uniquement en mémoire, et comment cela affecte-t-il l'analyse ?
- Comment une seule intrusion pourrait-elle impliquer plusieurs de ces catégories en séquence ?