Malcom – the MALware COMmunication analyzer

Magazine
Marque
MISC
HS n°
Numéro
12
Mois de parution
octobre 2015
Spécialités


Résumé

L’analyse de trafic réseau est une des techniques les plus populaires d’analyse dynamique de malwares. Dans le cadre de la réponse à incident, elle permet rapidement d’identifier les points de commande et contrôle (C2) et de produire des marqueurs ou indicateurs de compromission (« Indicators of Compromise », ou IOC) pertinents pour identifier des hôtes infectés. Les marqueurs réseau sont aussi un très bon point de pivot pour étendre sa connaissance sur l’adversaire : infrastructure, autres malwares, etc. Cependant, les outils classiques d’analyse réseau ne permettent pas de partager ses trouvailles avec d’autres chercheurs, obligeant la communauté « blue team » à partir de zéro lors de l’analyse. Nous allons voir comment Malcom essaye de répondre à ces besoins de partage et en quoi il diffère des outils d'analyse réseau classiques.


1. Malcom in the middle

Malcom est un outil qui se trouve au croisement de deux mondes : l’analyse réseau classique et le « Threat Intelligence ». Malcom est né d’un besoin très opérationnel : croiser les indicateurs réseaux intéressants issus d’une analyse dynamique du malware avec la malveillance connue sur Internet. Le processus manuel de croisement ressemble vaguement à ça :

1. On rencontre un échantillon de malware (exploit-kit, remontée utilisateur, partage sur un forum) ;

2. On lance le malware dans une sandbox ou une VM ;

3. On lance son outil d’analyse trafic réseau préféré :

  • Wireshark (vue très bas-niveau) ;
  • Burp (vue très (trop?) haut niveau) ;
  • tcpdump (pour les warriors !) ;

4. On filtre et extrait les marqueurs réseaux des résultats. La méthode varie grandement en fonction de l’outil utilisé pour la capture.

Ces étapes peuvent être simplifiées à l’aide d’un logiciel de sandbox, comme Cuckoo Sandbox,...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Tour d’horizon des mécanismes de supervision des EDR

Magazine
Marque
MISC
Numéro
116
Mois de parution
juillet 2021
Spécialités
Résumé

Au cœur des stratégies de défense des terminaux, les EDR se positionnent comme des compléments, parfois même remplaçants, efficaces des solutions antivirales classiques. Cet article étudie les fondamentaux des mécanismes permettant aux EDR de superviser les opérations réalisées sur un système Windows, tels que l’userland hooking, l’utilisation des kernel callbacks, et des évènements de Threat Intelligence.

Présentation des EDR et cas pratiques sur de grands parcs

Magazine
Marque
MISC
Numéro
116
Mois de parution
juillet 2021
Spécialités
Résumé

Réduire le temps de détection d'une attaque et sa remédiation est un enjeu crucial. Une technologie apportant de nouvelles solutions fait parler d'elle, son nom : EDR pour Endpoint Detection and Response. Mais qu'est-ce qu'un EDR, comment l'évaluer, le déployer ? Comment se démarque-t-il des autres solutions du marché ?

Analyser une attaque utilisant l’outil d’intrusion commercial Cobalt Strike

Magazine
Marque
MISC
Numéro
116
Mois de parution
juillet 2021
Spécialités
Résumé

2020 a confirmé que Cobalt Strike était bel et bien entré dans la boîte à outils de la plupart des groupes d’attaquants. D’Ocean Lotus au groupe derrière les attaques de Solar Winds, Cobalt Strike est partout. Que vous travaillez en SOC ou en threat intelligence, il est probable que vous allez rencontrer ce malware dans votre activité. Cet article fournit quelques clés afin d’analyser une attaque utilisant Cobalt Strike.