Automatisation de la récupération des Command and control et de la liste des victimes des botnets Anubis

Magazine
Marque
MISC
Numéro
109
Mois de parution
mai 2020
Domaines


Résumé

Cet article présente un outil d’analyse d’applications Android simple et l’illustration de sa mise en œuvre dans le cadre de l’extraction de la liste des C&C et des victimes du botnet Anubis.


Les analyses de malwares Android dans le but de récupérer des IOC tels que les adresses des C&C accédés ou des informations relatives aux botnets s’avèrent rapidement fastidieuses et répétitives.

Cet article se propose de présenter dans un premier temps l’implémentation d’une sandbox simple permettant d’extraire des informations d’applications suspectes, puis dans une seconde partie d’automatiser la collecte des victimes d’un serveur de C&C Anubis.

1. Sandbox Android

Il existe plusieurs systèmes de sandbox Android commerciales et open source, nous allons voir une implémentation simple d’une sandbox qui regroupe plusieurs modules dans le but d’automatiser l’analyse d’un lot d’applications.

L’implémentation de la sandbox se divise en quatre parties, toutes orchestrées par un moteur écrit en python :

  • un émulateur (AVD) ou un appareil physique rooté ;
  • une instance mitmproxy ;
  • un script Frida permettant d’instrumenter les...
Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références

[1] E. Vanderbéken, « Frida : le couteau suisse de l’analyse dynamique multiplateforme », MISC n°92, juillet 2017 : https://connect.ed-diamond.com/MISC/MISC-092/Frida-le-couteau-suisse-de-l-analyse-dynamique-multiplateforme

[2] Android Malware Sandbox : https://github.com/Areizen/Android-Malware-Sandbox

[3] Tim 'diff' Strazzere : https://github.com/strazzere/anti-emulator

[4] Mattia Vinci, Maurizio Agazzini : https://techblog.mediaservice.net/2018/11/universal-android-ssl-check-bypass-2/ 

[5] Mobile Malware Analysis Tricks used in Anubis : https://eybisi.run/Mobile-Malware-Analysis-Tricks-used-in-Anubis/

[6] Unpacking Anubis APK : https://sysopfb.github.io/malware,/reverse-engineering/2018/08/30/Unpacking-Anubis-APK.html

[7] Изучаем Anubis : https://xss.is/threads/33393/



Articles qui pourraient vous intéresser...

Utilisez des applications Android dans une machine virtuelle pour protéger votre téléphone

Magazine
Marque
Linux Pratique
Numéro
119
Mois de parution
mai 2020
Domaines
Résumé

La nouvelle mode pousse le commerce à proposer des applications à installer sur nos téléphones pour enrichir notre expérience de client (sic). Nous montrons dans cet article comment utiliser ces applications sans perturber le fonctionnement de notre téléphone réel. Il est en effet possible de disposer d’une plateforme jetable et peu onéreuse pour tester ou utiliser des applications. Nous présenterons l’installation de l’environnement de développement Android Studio. Nous montrerons comment lancer un téléphone virtuel à partir de cet environnement, puis directement à partir de la ligne de commandes.

JsItBad : détecter du JavaScript malveillant sans l’exécuter

Magazine
Marque
MISC
Numéro
108
Mois de parution
mars 2020
Domaines
Résumé

C’est théoriquement impossible, et pourtant c’est faisable en pratique. En s’inspirant d’une technique d’apprentissage statistique (Machine Learning) habituellement réservée au traitement du langage naturel, il est possible de déterminer avec une très grande précision si un bout de code en JavaScript est malveillant. Ces résultats s’étendent naturellement à tout langage interprété, mais sont mis en défaut par l’arrivée du WebAssembly.

Utilisation de services en ligne légitimes par les malwares

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Les fraudes sur Internet, qu’elles suivent une motivation financière ou autre, nécessitent généralement de l’ingénierie sociale, ou l’utilisation de malwares. Ces derniers sont plus ou moins furtifs au niveau de leur comportement sur le poste de travail infecté, mais aussi lors de leurs communications sur le réseau avec leur contrôleur, ou serveur de « command and control » (C2). Voulant rendre leur trafic moins détectable, certains cybercriminels ont misé sur l’utilisation de plateformes et services légitimes en ligne. Bien que cette méthode ne soit pas nouvelle en soi, elle tend à être de plus en plus utilisée depuis quelques années.

Désinstaller toutes vos applications Android indésirables sans « rooter » votre appareil

Magazine
Marque
Linux Pratique
Numéro
117
Mois de parution
janvier 2020
Domaines
Résumé

Lorsque vous faites l'acquisition d'un appareil, smartphone ou tablette, fonctionnant sous Android, ce dernier est généralement livré avec de nombreuses applications par défaut dont vous n'avez pas nécessairement l'utilité. Bien souvent il vous est impossible de les désinstaller de façon traditionnelle. Afin d'y parvenir, nombre de sites Internet vous préconisent de « rooter » votre appareil. En réalité, il n'en est rien et vous allez découvrir dans cet article comment faire avec des outils officiels.

Introduction au dossier : Ransomwares : état de la menace

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Il ne se passe plus un mois sans qu’un ransomware ne touche une entreprise ou administration publique et que cette dernière se retrouve dans une situation délicate, au point que cela atterrisse invariablement dans les colonnes de nos quotidiens (oui bon, dans les bandeaux des chaînes d’information continue). On pourrait simplement dire que l’histoire se répète, qu’il s’agit d’un énième malware qui touche des infrastructures qui ne sont pas à jour, mal configurées, et que tout cela était inéluctable.