Introduction à l’analyse de malwares

Magazine
Marque
MISC
Numéro
92
Mois de parution
juillet 2017
Domaines


Résumé

Comparée au reverse « traditionnel », la rétro-ingénierie d’un logiciel malveillant peut être sujette à des contraintes particulières de temps, d’isolation et de confidentialité.


 

Lorsqu’un malware est découvert dans le cadre d’une mission de réponse à incident, il est primordial de pouvoir en extraire des indicateurs atomiques (entrée dans la base de registre, adresse IP, etc.) et comportementaux dans des délais courts. L’emploi de techniques d’analyse automatisée est ici indispensable. Les malwares utilisent toutefois fréquemment des mécanismes « anti-sandbox » plus ou moins perfectionnés et obscurcissent généralement leurs communications. Il est alors nécessaire de mettre les mains dans le cambouis pour avoir une compréhension aboutie de l’échantillon analysé.

Nous parlons dans cet article de binaires Windows, mais les mêmes techniques peuvent s’appliquer aux macros Office, aux fichiers JavaScript ou à tout autre type de code.

1. Martine monte un labo

Il existe aujourd’hui de nombreuses ressources en ligne pour obtenir rapidement des indicateurs sur un malware. On ne présente plus VirusTotal, malwr ni...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

JsItBad : détecter du JavaScript malveillant sans l’exécuter

Magazine
Marque
MISC
Numéro
108
Mois de parution
mars 2020
Domaines
Résumé

C’est théoriquement impossible, et pourtant c’est faisable en pratique. En s’inspirant d’une technique d’apprentissage statistique (Machine Learning) habituellement réservée au traitement du langage naturel, il est possible de déterminer avec une très grande précision si un bout de code en JavaScript est malveillant. Ces résultats s’étendent naturellement à tout langage interprété, mais sont mis en défaut par l’arrivée du WebAssembly.

Rançongiciels 101

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Qu’ont en commun votre voisin, un fermier du Wisconsin, un centre hospitalier normand, les villes de Baltimore, de Johannesburg ou la Louisiane, la société Prosegur ? Tous ont été les victimes de ce qui en moins de dix ans est devenue une des principales menaces cyber : les rançongiciels.

Utilisation de services en ligne légitimes par les malwares

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Les fraudes sur Internet, qu’elles suivent une motivation financière ou autre, nécessitent généralement de l’ingénierie sociale, ou l’utilisation de malwares. Ces derniers sont plus ou moins furtifs au niveau de leur comportement sur le poste de travail infecté, mais aussi lors de leurs communications sur le réseau avec leur contrôleur, ou serveur de « command and control » (C2). Voulant rendre leur trafic moins détectable, certains cybercriminels ont misé sur l’utilisation de plateformes et services légitimes en ligne. Bien que cette méthode ne soit pas nouvelle en soi, elle tend à être de plus en plus utilisée depuis quelques années.