Analyse de documents malicieux : les cas PDF et MS Office

Magazine
Marque
MISC
HS n°
Numéro
3
Mois de parution
avril 2011
Domaines


Résumé

Les documents malicieux se sont énormément développés depuis ces dernières années. Très largement déployés et sujets à de multiples vulnérabilités, ils sont devenus un vecteur d'attaque de choix pour un attaquant. Bien que Microsoft et Adobe aient manifestement fait des efforts pour durcir la sécurité de leurs produits (recherche de vulnérabilités en amont, sandboxing, désactivation des macros par défaut, …), de nombreux postes utilisateurs ne sont pas mis à jour régulièrement et continuent d'utiliser des versions vulnérables.


1. Introduction

Nous nous focaliserons sur deux cas d'étude : les documents de la famille Microsoft Office et les documents PDF. Ces deux formats sont très complexes et ont été sujets à de multiples vulnérabilités par le passé.

Du point de vue de l'analyste, deux problématiques se posent naturellement :

1. Le document à analyser possède-t-il une charge malicieuse ?

2. Si oui, quelle est-elle et comment s'abstraire du format du document pour l'analyser ?

Pour y répondre, l'analyste doit d'une part comprendre le format de fichier utilisé par le document, et d'autre part se doter des outils adéquats qui lui éviteront d'avoir à réinventer la roue. Lors d'une analyse, il est de plus recommandé de travailler dans un environnement virtualisé. Aucun lecteur PDF ou Office ne doit être installé dans la machine virtuelle, afin d'éviter tout risque d'infection, en particulier à cause des extensions Shell : le payload d'un document pourrait effectivement...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

JsItBad : détecter du JavaScript malveillant sans l’exécuter

Magazine
Marque
MISC
Numéro
108
Mois de parution
mars 2020
Domaines
Résumé

C’est théoriquement impossible, et pourtant c’est faisable en pratique. En s’inspirant d’une technique d’apprentissage statistique (Machine Learning) habituellement réservée au traitement du langage naturel, il est possible de déterminer avec une très grande précision si un bout de code en JavaScript est malveillant. Ces résultats s’étendent naturellement à tout langage interprété, mais sont mis en défaut par l’arrivée du WebAssembly.

Introduction au dossier : Ransomwares : état de la menace

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Il ne se passe plus un mois sans qu’un ransomware ne touche une entreprise ou administration publique et que cette dernière se retrouve dans une situation délicate, au point que cela atterrisse invariablement dans les colonnes de nos quotidiens (oui bon, dans les bandeaux des chaînes d’information continue). On pourrait simplement dire que l’histoire se répète, qu’il s’agit d’un énième malware qui touche des infrastructures qui ne sont pas à jour, mal configurées, et que tout cela était inéluctable.

Rançongiciels 101

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Qu’ont en commun votre voisin, un fermier du Wisconsin, un centre hospitalier normand, les villes de Baltimore, de Johannesburg ou la Louisiane, la société Prosegur ? Tous ont été les victimes de ce qui en moins de dix ans est devenue une des principales menaces cyber : les rançongiciels.