Quand les dessins animés se « Rebelle »... Éléments de « Raiponce »...

Magazine
Marque
MISC
Numéro
79
Mois de parution
mai 2015
Spécialités


Résumé

Ces mois de février et mars ont vu la médiatisation de trois malwares vraisemblablement développés par la même équipe. Un des éléments qui a fait beaucoup couler beaucoup d'encre est leurs noms : Bunny, Babar et Casper. Ces noms ont été choisis par les développeurs eux-mêmes. Je présume qu'ils doivent être fans de dessins animés ;). Cet article a pour but de décrire quelques fonctionnalités présentes dans chacun de ces trois malwares. 
Note : aucune attribution n’est évoquée dans l’article. Ce n'est pas le but de l’analyse. Cet article reste strictement dans le domaine technique.


1. Introduction

Cet article ne fournit pas une analyse complète de EvilBunny, Babar ou encore Casper. Il présente quelques fonctionnalités intéressantes ainsi que quelques mécanismes de base fréquemment utilisés par les développeurs de malwares. Voici la liste des échantillons choisis pour la rédaction de l’article :

- EvilBunny : c40e3ee23cf95d992b7cd0b7c01b8599 ;

- Babar : 8b3961f7f743daacfd67380a9085da4f ;

- Casper : 4d7ca8d467770f657305c16474b845fe.

Ces trois échantillons de malwares ont vraisemblablement été écrits par les mêmes auteurs. Pour plus d'information, vous pouvez aller lire ma publication à l'adresse suivante : https://blog.gdatasoftware.com/blog/article/babar-espionage-software-finally-found-and-put-under-the-microscope.html. Ces échantillons ont été développés dans l'ordre dans lequel ils sont présentés dans cet article. Les plus anciennes versions d’EvilBunny sont de 2010, pour Babar, les analystes pensent que des...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Présentation des EDR et cas pratiques sur de grands parcs

Magazine
Marque
MISC
Numéro
116
Mois de parution
juillet 2021
Spécialités
Résumé

Réduire le temps de détection d'une attaque et sa remédiation est un enjeu crucial. Une technologie apportant de nouvelles solutions fait parler d'elle, son nom : EDR pour Endpoint Detection and Response. Mais qu'est-ce qu'un EDR, comment l'évaluer, le déployer ? Comment se démarque-t-il des autres solutions du marché ?

Analyser une attaque utilisant l’outil d’intrusion commercial Cobalt Strike

Magazine
Marque
MISC
Numéro
116
Mois de parution
juillet 2021
Spécialités
Résumé

2020 a confirmé que Cobalt Strike était bel et bien entré dans la boîte à outils de la plupart des groupes d’attaquants. D’Ocean Lotus au groupe derrière les attaques de Solar Winds, Cobalt Strike est partout. Que vous travaillez en SOC ou en threat intelligence, il est probable que vous allez rencontrer ce malware dans votre activité. Cet article fournit quelques clés afin d’analyser une attaque utilisant Cobalt Strike.

Introduction au dossier : EDR – Quel apport pour la sécurité de votre parc ?

Magazine
Marque
MISC
Numéro
116
Mois de parution
juillet 2021
Spécialités
Résumé

La supervision de la sécurité des terminaux est souvent le parent pauvre des directions informatiques. Pendant longtemps, l’alpha et l'oméga en matière de gestion de la sécurité des terminaux se sont résumé à un antivirus, avec dans le meilleur des cas une console centralisée, l’application des patch tuesday et une authentification via contrôleur de domaine sans droits d'administration pour les usagers.

Désamorcer des bombes logiques

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Spécialités
Résumé

Aujourd’hui, les développeurs de code malveillant sont capables de contourner les mesures de sécurité et les techniques d’analyse les plus poussées grâce à de simples mécanismes appelés « bombes logiques ». Un exemple significatif est le Google Play qui accepte toujours des applications malveillantes pouvant déjouer ses barrières de sécurité. Cette introduction aux bombes logiques permet de sensibiliser sur les différentes solutions pouvant être mises en place pour détecter ces artifices.