Automatisation de la récupération des Command and control et de la liste des victimes des botnets Anubis

Magazine
Marque
MISC
Numéro
109
Mois de parution
mai 2020
Domaines


Résumé

Cet article présente un outil d’analyse d’applications Android simple et l’illustration de sa mise en œuvre dans le cadre de l’extraction de la liste des C&C et des victimes du botnet Anubis.


Les analyses de malwares Android dans le but de récupérer des IOC tels que les adresses des C&C accédés ou des informations relatives aux botnets s’avèrent rapidement fastidieuses et répétitives.

Cet article se propose de présenter dans un premier temps l’implémentation d’une sandbox simple permettant d’extraire des informations d’applications suspectes, puis dans une seconde partie d’automatiser la collecte des victimes d’un serveur de C&C Anubis.

1. Sandbox Android

Il existe plusieurs systèmes de sandbox Android commerciales et open source, nous allons voir une implémentation simple d’une sandbox qui regroupe plusieurs modules dans le but d’automatiser l’analyse d’un lot d’applications.

L’implémentation de la sandbox se divise en quatre parties, toutes orchestrées par un moteur écrit en python :

  • un émulateur (AVD) ou un appareil physique rooté ;
  • une instance mitmproxy ;
  • un script Frida permettant d’instrumenter les...
Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références

[1] E. Vanderbéken, « Frida : le couteau suisse de l’analyse dynamique multiplateforme », MISC n°92, juillet 2017 : https://connect.ed-diamond.com/MISC/MISC-092/Frida-le-couteau-suisse-de-l-analyse-dynamique-multiplateforme

[2] Android Malware Sandbox : https://github.com/Areizen/Android-Malware-Sandbox

[3] Tim 'diff' Strazzere : https://github.com/strazzere/anti-emulator

[4] Mattia Vinci, Maurizio Agazzini : https://techblog.mediaservice.net/2018/11/universal-android-ssl-check-bypass-2/ 

[5] Mobile Malware Analysis Tricks used in Anubis : https://eybisi.run/Mobile-Malware-Analysis-Tricks-used-in-Anubis/

[6] Unpacking Anubis APK : https://sysopfb.github.io/malware,/reverse-engineering/2018/08/30/Unpacking-Anubis-APK.html

[7] Изучаем Anubis : https://xss.is/threads/33393/



Articles qui pourraient vous intéresser...

Détection d'anomalies par ACP

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Retour de vacances. L’analyse du SIEM après un mois d’absence montre que dix incidents ont été déclenchés sur la base des alertes automatiques et ont pu être gérés convenablement par la chaîne de traitement d’incidents. Tout est-il sous contrôle ? Un analyste aimerait rapidement s’en assurer en complétant cette supervision par sa propre analyse du mois écoulé. Mais par où commencer ? Il est inenvisageable de regarder un mois de logs « rapidement » et d’autant plus quand on ne sait pas précisément ce que l’on cherche… Une solution possible est de recourir à des outils statistiques qui permettent d’identifier des périodes d’activité atypiques sur lesquelles concentrer son analyse. L’analyse en composantes principales (ACP ou PCA en anglais) est une méthode statistique qui peut répondre relativement efficacement à cette problématique. L’article présente cette méthode et son apport dans la détection d’anomalies, en prenant comme exemple l’analyse de flux réseaux.

Télétravail : une sécurité à repenser et une nouvelle organisation à encadrer

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Entre mode et nécessité, le télétravail nous oblige à repenser notre organisation du travail et les règles de sécurité associées. Comment mettre en place ces nouveaux modèles sans risque pour l’entreprise et ses salariés ?

Garder ses secrets avec Tomb

Magazine
Marque
Linux Pratique
HS n°
Numéro
48
Mois de parution
septembre 2020
Domaines
Résumé

Pour conserver des documents privés sur un disque dur ou un support amovible, il est nécessaire d'avoir recours au chiffrement. L'outil Tomb permet de manipuler simplement des répertoires chiffrés par le standard LUKS, pensé dans un d'esprit de confort et de mobilité.

Covid-19, télétravail : mise en œuvre d’accès distants sécurisés pour se rapprocher du SI

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Les mesures de confinement prises par le gouvernement mi-mars 2020 pour contrer la propagation du Covid-19 ont poussé les entreprises et administrations de toutes tailles à promouvoir le télétravail. Cet article présente le retour d’expérience d’une partie de l’équipe EDF en charge des « accès distants sécurisés » pendant cette période.

Retour d’expérience : investigation numérique dans un environnement Windows

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

L’investigation numérique d’un système d’information (SI) consiste à comprendre d’un point de vue temporel et factuel les évènements ayant conduit à l’incident. Bien que les SI présentent une architecture bien souvent commune, les interventions sont toutes différentes et mettent en lumière l’ingéniosité des attaquants afin d’œuvrer de la manière la plus discrète possible. Nous allons présenter au cours de cet article, notre retour d’expérience relatif à une intervention auprès d’un client début 2020.