Analyse de malware à la rescousse du CSIRT : de la rétro-conception aux IOC

Magazine
Marque
MISC
HS n°
Numéro
10
Mois de parution
octobre 2014
Domaines


Résumé

Cet article a pour objectif de proposer une démarche d'analyse de malware dans le cadre d'une réponse à un incident. L'analyste doit adopter une approche rigoureuse afin de qualifier la menace inhérente à cet incident tout en agissant dans un temps limité. Son objectif est de produire une analyse exhaustive du malware comprenant les marqueurs nécessaires pour contenir et éradiquer l'incident remonté.


1. Introduction

Selon le [NIST], le cycle de vie d'une réponse à un incident se compose de quatre étapes essentielles : la préparation, la détection et l'analyse, l'éradication et le retour à un état stable et enfin la capitalisation. La phase de détection et d'analyse est souvent menée par une structure de type CSIRT (Computer Security Incident Response Team). Cette dernière est amenée à faire appel aux compétences d'un spécialiste dans le cadre d'une analyse de malware.

Le présent article s'attachera à proposer une méthodologie qui peut être adoptée et adaptée par toute entité qui vise à intégrer l'analyse de malware dans son processus de gestion d'incident.

Cette analyse se focalise essentiellement sur l'étude d'un binaire supposé malveillant et élément clé de l'incident de sécurité. Elle a pour objectif d'établir les fonctionnalités du binaire (downloader, porte dérobée, RAT, Bot, ransomware, etc.) et d'identifier les indicateurs de...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références

 

[NIST] : http://csrc.nist.gov/publications/nistpubs/800-61rev2/SP800-61rev2.pdf

[openIOC] : http://www.openioc.org/

[YARA] : http://plusvic.github.io/yara/

[PRACTICAL] : Practical Malware Analysis (Michael Sikorski et Andrew Honig)

[OPENSEC] : http://opensecuritytraining.info/MalwareDynamicAnalysis.html

[BLOGFU] : http://fumalwareanalysis.blogspot.ch/p/malware-analysis-tutorials-reverse.html

[WOODMANN] : http://www.woodmann.com/

[QBSYNC] : https://github.com/quarkslab/qb-sync

[pTra] : https://www.sstic.org/media/SSTIC2014/SSTIC-actes/dsobfuscation_de_drm_par_attaques_auxiliaires/SSTIC2014-Article-dsobfuscation_de_drm_par_attaques_auxiliaires-mougey_gabriel.pdf

[VxClass] : http://www.zynamics.com/vxclass.html

[API_OBFUSCATION] : http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/a_museum_of_api_obfuscation_on_win32.pdf

[ImpRec] : www.woodmann.com/collaborative/tools/index.php/ImpREC

[ChimpRec] : www.woodmann.com/collaborative/tools/index.php/CHimpREC

[Scylla] : http://www.woodmann.com/collaborative/tools/index.php/Scylla

[AppCall] : http://interestingmalware.blogspot.fr/2010/07/decrypting-malware-strings-with-idas.html

[CFF explorer] : http://www.ntcore.com/exsuite.php

[xPELister] : http://www.woodmann.com/collaborative/tools/index.php/XPELister

[XorSearh] : http://blog.didierstevens.com/programs/xorsearch/

[Pin Tools] : https://software.intel.com/en-us/articles/pin-a-dynamic-binary-instrumentation-tool

[Miasm] : http://code.google.com/p/miasm/

[Metasm] : http://metasm.cr0.org/

[ImmDbg] : http://www.immunitysec.com/products-immdbg.shtml

[SysInternals] : http://technet.microsoft.com/en-us/sysinternals/bb545021.aspx

[SysMon] : http://technet.microsoft.com/en-us/sysinternals/dn798348.aspx

[Capture-BAT] : https://www.honeynet.org/node/315

[ProcDot] : http://www.cert.at/downloads/software/procdot_en.html

[RegShot] : http://code.google.com/p/regshot/

[Peter Ferrie] : http://pferrie.host22.com/papers/antidebug.pdf

[ApiMonitor] : http://www.rohitab.com/apimonitor

[RDG Packer Detector] : http://rdgsoft.net/

[Pescanner.py] : http://code.google.com/p/malwarecookbook/

[Pyew] : http://code.google.com/p/pyew/

[LordPE] : www.woodmann.com/collaborative/tools/index.php/LordPE

[Ollydump] : http://www.openrce.org/downloads/details/108/OllyDump

[anti-virtualisation] : http://artemonsecurity.com/vmde.pdf

[OllyAdvanced] : https://tuts4you.com/download.php?view.75

[Inetsim] : http://www.inetsim.org/

[Honeyd] : http://www.honeyd.org/

[Remnux] : http://zeltser.com/remnux/

[BinDiff] : http://www.zynamics.com/bindiff.html

[FindCrypt] : http://www.hexblog.com/?p=27

[FLIRT] : https://www.hex-rays.com/products/ida/tech/flirt/index.shtml

[FLAIR] : https://www.hex-rays.com/products/ida/support/ida/flair66.zip

[IDA_Signsrch] : https://www.hex-rays.com/contests/2012/IDA_Signsrch.rar

[SSTIC_CRYPTO] : https://www.sstic.org/media/SSTIC2008/SSTIC-actes/Cryptographie_attaques_tous_azimuts/SSTIC2008-Article-Cryptographie_attaques_tous_azimuts-filiol_raynal_bedrune.pdf

[prédicats obscurs] : https://www.sstic.org/media/SSTIC2008/SSTICactes/Deprotection_semi_automatique_de_binaire/SSTIC2008-Article-Deprotection_semi_automatique_de_binaire-gazet_guillot.pdf

[code falttening] : https://www.sstic.org/media/SSTIC2013/SSTIC-actes/execution_symbolique_et_CFG_flattening/SSTIC2013-Article-execution_symbolique_et_CFG_flattening-vanderbeken.pdf

[MISC_RTTI] : Reverse C++ et RTTI par Jean-philippe Luyten MISC n°61

[Compiler_OPTI] : http://www.openrce.org/repositories/users/RolfRolles/Binary%20Literacy%20--%20Static%20--%206%20--%20Optimizations.ppt

[Code Coverage] : http://doar-e.github.io/blog/2013/08/31/some-thoughts-about-code-coverage-measurement-with-pin/

[HexRays] : https://www.hex-rays.com/products/decompiler/

 



Articles qui pourraient vous intéresser...

JsItBad : détecter du JavaScript malveillant sans l’exécuter

Magazine
Marque
MISC
Numéro
108
Mois de parution
mars 2020
Domaines
Résumé

C’est théoriquement impossible, et pourtant c’est faisable en pratique. En s’inspirant d’une technique d’apprentissage statistique (Machine Learning) habituellement réservée au traitement du langage naturel, il est possible de déterminer avec une très grande précision si un bout de code en JavaScript est malveillant. Ces résultats s’étendent naturellement à tout langage interprété, mais sont mis en défaut par l’arrivée du WebAssembly.

Utilisation de services en ligne légitimes par les malwares

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Les fraudes sur Internet, qu’elles suivent une motivation financière ou autre, nécessitent généralement de l’ingénierie sociale, ou l’utilisation de malwares. Ces derniers sont plus ou moins furtifs au niveau de leur comportement sur le poste de travail infecté, mais aussi lors de leurs communications sur le réseau avec leur contrôleur, ou serveur de « command and control » (C2). Voulant rendre leur trafic moins détectable, certains cybercriminels ont misé sur l’utilisation de plateformes et services légitimes en ligne. Bien que cette méthode ne soit pas nouvelle en soi, elle tend à être de plus en plus utilisée depuis quelques années.

Introduction au dossier : Ransomwares : état de la menace

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Il ne se passe plus un mois sans qu’un ransomware ne touche une entreprise ou administration publique et que cette dernière se retrouve dans une situation délicate, au point que cela atterrisse invariablement dans les colonnes de nos quotidiens (oui bon, dans les bandeaux des chaînes d’information continue). On pourrait simplement dire que l’histoire se répète, qu’il s’agit d’un énième malware qui touche des infrastructures qui ne sont pas à jour, mal configurées, et que tout cela était inéluctable.