Analyse de documents malicieux : les cas PDF et MS Office

Magazine
Marque
MISC
HS n°
Numéro
3
Mois de parution
avril 2011
Auteurs
Par
Bédrune Jean-Baptiste
Delugré Guillaume
Spécialité(s)
Malware
Tag(s)
PDF
Obfuscation
chiffrement
JavaScript
Macro
payload


Résumé

Les documents malicieux se sont énormément développés depuis ces dernières années. Très largement déployés et sujets à de multiples vulnérabilités, ils sont devenus un vecteur d'attaque de choix pour un attaquant. Bien que Microsoft et Adobe aient manifestement fait des efforts pour durcir la sécurité de leurs produits (recherche de vulnérabilités en amont, sandboxing, désactivation des macros par défaut, …), de nombreux postes utilisateurs ne sont pas mis à jour régulièrement et continuent d'utiliser des versions vulnérables.


1. Introduction

Nous nous focaliserons sur deux cas d'étude : les documents de la famille Microsoft Office et les documents PDF. Ces deux formats sont très complexes et ont été sujets à de multiples vulnérabilités par le passé.

Du point de vue de l'analyste, deux problématiques se posent naturellement :

1. Le document à analyser possède-t-il une charge malicieuse ?

2. Si oui, quelle est-elle et comment s'abstraire du format du document pour l'analyser ?

Pour y répondre, l'analyste doit d'une part comprendre le format de fichier utilisé par le document, et d'autre part se doter des outils adéquats qui lui éviteront d'avoir à réinventer la roue. Lors d'une analyse, il est de plus recommandé de travailler dans un environnement virtualisé. Aucun lecteur PDF ou Office ne doit être installé dans la machine virtuelle, afin d'éviter tout risque d'infection, en particulier à cause des extensions Shell : le

La suite est réservée aux abonnés. Il vous reste 97% à découvrir.
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Envie de lire la suite ? Rejoignez Connect
Je m'abonne maintenant


Article rédigé par

Bédrune Jean-Baptiste

Bédrune Jean-Baptiste
6 articles

Delugré Guillaume

Delugré Guillaume
2 articles

Par le(s) même(s) auteur(s)

Plus d'article de cet auteur

De retour du 27C3 : We come in peace

Magazine
Marque
MISC
Numéro
54
Mois de parution
mars 2011
Auteurs
Par
Delugré Guillaume
Spécialité(s)
Sécurité système
Société
Résumé

Du 27 au 30 décembre 2010 eut lieu à Berlin la 27ème édition du Chaos Communication Congress, ou 27C3. Cet événement est traditionnellement organisé chaque année par le Chaos Computer Club et réunit une partie de la scène hacker allemande et internationale autour de nombreuses conférences sur le thème de la sécurité.

Lire l'article

La protection des jeux vidéo : fouilles archéologiques

Magazine
Marque
MISC
Numéro
50
Mois de parution
juillet 2010
Auteurs
Par
Porat Frédéric
Porés (Lyséus) Sébastien
Bédrune Jean-Baptiste
Spécialité(s)
Sécurité système
Jeux
Résumé

Cet article, à but historique, présente des méthodes de protection avancées rencontrées sur des jeux sortis il y a plus de 20 ans sur ATARI. C'était alors la grande époque de la disquette. Il est dans l'esprit commun que les protections se sont fortement complexifiées au fil du temps. Nous verrons pourtant que les développeurs de ces jeux, en matière de protection de code, n'avaient pourtant rien à envier aux développeurs actuels. Il montre également que le reverse engineering était déjà bien maîtrisé, à une époque où de nombreux lecteurs de MISC tétaient encore leur biberon.

Lire l'article

La protection des jeux vidéos : du CD-ROM à l'activation en ligne

Magazine
Marque
MISC
Numéro
50
Mois de parution
juillet 2010
Auteurs
Par
Porat Frédéric
Porés (Lyséus) Sébastien
Bédrune Jean-Baptiste
Spécialité(s)
Jeux
Sécurité système
Résumé

La lutte contre le piratage a été une constante chez les éditeurs de jeux vidéo. La finalité est restée la même : une personne qui n'a pas acheté ou loué un jeu ne doit pas pouvoir l'utiliser. Les méthodes, en revanche, ont évolué, principalement en raison des supports utilisés et des techniques utilisées par les attaquants.Cet article traite des mécanismes de protection rencontrés depuis l'apparition des jeux sur CD-Rom. Celui-ci, par sa grande quantité de stockage et sa durée de vie plus importante, a rendu obsolète la disquette en quelques années. Il montre ensuite l'évolution des protections, avec l'arrivées des DVD et, dernièrement, des mécanismes d'activation en ligne.

Lire l'article

Méthodologie d'évaluation des antivirus

Magazine
Marque
MISC
Numéro
47
Mois de parution
janvier 2010
Auteurs
Par
Bédrune Jean-Baptiste
Gazet Alexandre
Spécialité(s)
Malware
Résumé

Cet article décrit une méthodologie d'évaluation des logiciels antivirus. Elle reprend les grandes lignes de la méthodologie d'évaluation CSPN (Certification de Sécurité Premier Niveau), et tente de prendre en compte les spécificités de ces logiciels. Notre méthodologie se veut un compromis entre les aspects formels et opérationnels. Certains points sont ouverts : il s'agit plus d'un guide que d'une méthode rigide. Une certaine liberté est donc laissée aux évaluateurs.

Lire l'article

Les listes de lecture

Sécurité Windows : Active Directory

11 article(s) - ajoutée le 01/07/2020
Sécurité réseau
Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.

Sécurité des mobiles

8 article(s) - ajoutée le 13/10/2020
Mobilité Sécurité système
Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.

Cryptographie appliquée

10 article(s) - ajoutée le 13/10/2020
Crypto
Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.
Plus de listes de lecture