Cet article a pour objectif de proposer une démarche d'analyse de malware dans le cadre d'une réponse à un incident. L'analyste doit adopter une approche rigoureuse afin de qualifier la menace inhérente à cet incident tout en agissant dans un temps limité. Son objectif est de produire une analyse exhaustive du malware comprenant les marqueurs nécessaires pour contenir et éradiquer l'incident remonté.
1. Introduction
Selon le [NIST], le cycle de vie d'une réponse à un incident se compose de quatre étapes essentielles : la préparation, la détection et l'analyse, l'éradication et le retour à un état stable et enfin la capitalisation. La phase de détection et d'analyse est souvent menée par une structure de type CSIRT (Computer Security Incident Response Team). Cette dernière est amenée à faire appel aux compétences d'un spécialiste dans le cadre d'une analyse de malware.
Le présent article s'attachera à proposer une méthodologie qui peut être adoptée et adaptée par toute entité qui vise à intégrer l'analyse de malware dans son processus de gestion d'incident.
Cette analyse se focalise essentiellement sur l'étude d'un binaire supposé malveillant et élément clé de l'incident de sécurité. Elle a pour objectif d'établir les fonctionnalités du binaire (downloader, porte dérobée, RAT, Bot, ransomware, etc.) et d'identifier les indicateurs de...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[NIST] : http://csrc.nist.gov/publications/nistpubs/800-61rev2/SP800-61rev2.pdf
[openIOC] : http://www.openioc.org/
[YARA] : http://plusvic.github.io/yara/
[PRACTICAL] : Practical Malware Analysis (Michael Sikorski et Andrew Honig)
[OPENSEC] : http://opensecuritytraining.info/MalwareDynamicAnalysis.html
[BLOGFU] : http://fumalwareanalysis.blogspot.ch/p/malware-analysis-tutorials-reverse.html
[WOODMANN] : http://www.woodmann.com/
[QBSYNC] : https://github.com/quarkslab/qb-sync
[VxClass] : http://www.zynamics.com/vxclass.html
[API_OBFUSCATION] : http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/a_museum_of_api_obfuscation_on_win32.pdf
[ImpRec] : www.woodmann.com/collaborative/tools/index.php/ImpREC
[ChimpRec] : www.woodmann.com/collaborative/tools/index.php/CHimpREC
[Scylla] : http://www.woodmann.com/collaborative/tools/index.php/Scylla
[AppCall] : http://interestingmalware.blogspot.fr/2010/07/decrypting-malware-strings-with-idas.html
[CFF explorer] : http://www.ntcore.com/exsuite.php
[xPELister] : http://www.woodmann.com/collaborative/tools/index.php/XPELister
[XorSearh] : http://blog.didierstevens.com/programs/xorsearch/
[Pin Tools] : https://software.intel.com/en-us/articles/pin-a-dynamic-binary-instrumentation-tool
[Miasm] : http://code.google.com/p/miasm/
[Metasm] : http://metasm.cr0.org/
[ImmDbg] : http://www.immunitysec.com/products-immdbg.shtml
[SysInternals] : http://technet.microsoft.com/en-us/sysinternals/bb545021.aspx
[SysMon] : http://technet.microsoft.com/en-us/sysinternals/dn798348.aspx
[Capture-BAT] : https://www.honeynet.org/node/315
[ProcDot] : http://www.cert.at/downloads/software/procdot_en.html
[RegShot] : http://code.google.com/p/regshot/
[Peter Ferrie] : http://pferrie.host22.com/papers/antidebug.pdf
[ApiMonitor] : http://www.rohitab.com/apimonitor
[RDG Packer Detector] : http://rdgsoft.net/
[Pescanner.py] : http://code.google.com/p/malwarecookbook/
[Pyew] : http://code.google.com/p/pyew/
[LordPE] : www.woodmann.com/collaborative/tools/index.php/LordPE
[Ollydump] : http://www.openrce.org/downloads/details/108/OllyDump
[anti-virtualisation] : http://artemonsecurity.com/vmde.pdf
[OllyAdvanced] : https://tuts4you.com/download.php?view.75
[Inetsim] : http://www.inetsim.org/
[Honeyd] : http://www.honeyd.org/
[Remnux] : http://zeltser.com/remnux/
[BinDiff] : http://www.zynamics.com/bindiff.html
[FindCrypt] : http://www.hexblog.com/?p=27
[FLIRT] : https://www.hex-rays.com/products/ida/tech/flirt/index.shtml
[FLAIR] : https://www.hex-rays.com/products/ida/support/ida/flair66.zip
[IDA_Signsrch] : https://www.hex-rays.com/contests/2012/IDA_Signsrch.rar
[prédicats obscurs] : https://www.sstic.org/media/SSTIC2008/SSTICactes/Deprotection_semi_automatique_de_binaire/SSTIC2008-Article-Deprotection_semi_automatique_de_binaire-gazet_guillot.pdf
[code falttening] : https://www.sstic.org/media/SSTIC2013/SSTIC-actes/execution_symbolique_et_CFG_flattening/SSTIC2013-Article-execution_symbolique_et_CFG_flattening-vanderbeken.pdf
[MISC_RTTI] : Reverse C++ et RTTI par Jean-philippe Luyten MISC n°61
[Compiler_OPTI] : http://www.openrce.org/repositories/users/RolfRolles/Binary%20Literacy%20--%20Static%20--%206%20--%20Optimizations.ppt
[Code Coverage] : http://doar-e.github.io/blog/2013/08/31/some-thoughts-about-code-coverage-measurement-with-pin/
[HexRays] : https://www.hex-rays.com/products/decompiler/
