Analyse de malware avec Cuckoo Sandbox

Magazine
Marque
MISC
Numéro
59
Mois de parution
janvier 2012
Domaines


Résumé

En entreprise, l’analyse d’un malware lié à un incident de sécurité est une activité pouvant être réalisée à divers niveaux, en fonction de plusieurs paramètres : degré d’urgence, sensibilité de l’incident, but poursuivi, … Il peut être intéressant dans tous les cas d’obtenir en quelques minutes une première estimation des capacités du malware et de ses communications avec l’extérieur, ou encore de savoir rapidement quels fichiers il crée sur le système. C’est dans ce cadre qu’a été développé Cuckoo Sandbox, un bac à sable automatisé d’analyse de malware en environnement virtuel.


1. Présentation

Cuckoo Sandbox [1] est un outil développé et maintenu par Claudio Guarnieri. Le projet a été démarré dans le cadre du Google Summer of Code 2010 et soutenu par le Projet Honeynet [2]. Il en est actuellement à sa version 0.2 beta. L’outil est open source, sous licence GNU, entièrement écrit en Python. Il peut être téléchargé sous forme d’archive ou de dépôt GitHub.

Mais de quoi s’agit-il ? Cuckoo Sandbox (ou CuckooBox) est un bac à sable d’analyse de malware pour Windows basé sur la virtualisation et l’automatisation de tâches.

L’idée est d’installer CuckooBox sur un système hôte sain, Windows ou Linux, et de simplement lui soumettre des binaires Windows, qui seront analysés de façon totalement automatisée dans une machine virtuelle de type virtualBox [3]. En plus de lui soumettre des exécutables, il est également possible de lui fournir des fichiers PDF, des documents Office, ou encore des scripts PHP.

L’outil...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

JsItBad : détecter du JavaScript malveillant sans l’exécuter

Magazine
Marque
MISC
Numéro
108
Mois de parution
mars 2020
Domaines
Résumé

C’est théoriquement impossible, et pourtant c’est faisable en pratique. En s’inspirant d’une technique d’apprentissage statistique (Machine Learning) habituellement réservée au traitement du langage naturel, il est possible de déterminer avec une très grande précision si un bout de code en JavaScript est malveillant. Ces résultats s’étendent naturellement à tout langage interprété, mais sont mis en défaut par l’arrivée du WebAssembly.

Introduction au dossier : Ransomwares : état de la menace

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Il ne se passe plus un mois sans qu’un ransomware ne touche une entreprise ou administration publique et que cette dernière se retrouve dans une situation délicate, au point que cela atterrisse invariablement dans les colonnes de nos quotidiens (oui bon, dans les bandeaux des chaînes d’information continue). On pourrait simplement dire que l’histoire se répète, qu’il s’agit d’un énième malware qui touche des infrastructures qui ne sont pas à jour, mal configurées, et que tout cela était inéluctable.

Rançongiciels 101

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Qu’ont en commun votre voisin, un fermier du Wisconsin, un centre hospitalier normand, les villes de Baltimore, de Johannesburg ou la Louisiane, la société Prosegur ? Tous ont été les victimes de ce qui en moins de dix ans est devenue une des principales menaces cyber : les rançongiciels.