Automatisation de la récupération des Command and control et de la liste des victimes des botnets Anubis

Magazine
Marque
MISC
Numéro
109
Mois de parution
mai 2020
Auteurs
Par
Kraft Romain
Spécialité(s)
Malware
Mobilité
Tag(s)
Android
botnet
sandbox
Injection
vulnérabilités


Résumé

Cet article présente un outil d’analyse d’applications Android simple et l’illustration de sa mise en œuvre dans le cadre de l’extraction de la liste des C&C et des victimes du botnet Anubis.


Les analyses de malwares Android dans le but de récupérer des IOC tels que les adresses des C&C accédés ou des informations relatives aux botnets s’avèrent rapidement fastidieuses et répétitives.

Cet article se propose de présenter dans un premier temps l’implémentation d’une sandbox simple permettant d’extraire des informations d’applications suspectes, puis dans une seconde partie d’automatiser la collecte des victimes d’un serveur de C&C Anubis.

1. Sandbox Android

Il existe plusieurs systèmes de sandbox Android commerciales et open source, nous allons voir une implémentation simple d’une sandbox qui regroupe plusieurs modules dans le but d’automatiser l’analyse d’un lot d’applications.

L’implémentation de la sandbox se divise en quatre parties, toutes orchestrées par un moteur écrit en python :

  • un émulateur (AVD) ou un appareil physique rooté ;
  • une instance mitmproxy ;
  • un…
La suite est réservée aux abonnés. Il vous reste 95% à découvrir.
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Envie de lire la suite ? Rejoignez Connect
Je m'abonne maintenant
Références

[1] E. Vanderbéken, « Frida : le couteau suisse de l’analyse dynamique multiplateforme », MISC n°92, juillet 2017 : https://connect.ed-diamond.com/MISC/MISC-092/Frida-le-couteau-suisse-de-l-analyse-dynamique-multiplateforme

[2] Android Malware Sandbox : https://github.com/Areizen/Android-Malware-Sandbox

[3] Tim 'diff' Strazzere : https://github.com/strazzere/anti-emulator

[4] Mattia Vinci, Maurizio Agazzini : https://techblog.mediaservice.net/2018/11/universal-android-ssl-check-bypass-2/ 

[5] Mobile Malware Analysis Tricks used in Anubis : https://eybisi.run/Mobile-Malware-Analysis-Tricks-used-in-Anubis/

[6] Unpacking Anubis APK : https://sysopfb.github.io/malware,/reverse-engineering/2018/08/30/Unpacking-Anubis-APK.html

[7] Изучаем Anubis : https://xss.is/threads/33393/



Article rédigé par

Kraft Romain
Kraft Romain
1 articles

Les listes de lecture

Python niveau débutant
9 article(s) - ajoutée le 01/07/2020
Code
Vous désirez apprendre le langage Python, mais ne savez pas trop par où commencer ? Cette liste de lecture vous permettra de faire vos premiers pas en découvrant l'écosystème de Python et en écrivant de petits scripts.
Au pays des algorithmes
11 article(s) - ajoutée le 01/07/2020
Algo
La base de tout programme effectuant une tâche un tant soit peu complexe est un algorithme, une méthode permettant de manipuler des données pour obtenir un résultat attendu. Dans cette liste, vous pourrez découvrir quelques spécimens d'algorithmes.
Analyse de données en Python
10 article(s) - ajoutée le 01/07/2020
Code
À quoi bon se targuer de posséder des pétaoctets de données si l'on est incapable d'analyser ces dernières ? Cette liste vous aidera à "faire parler" vos données.
Plus de listes de lecture