Les articles de Rascagnères Paul

Cadeaux de Noël aux reversers

Magazine
Marque
MISC
Numéro
96
|
Mois de parution
mars 2018
|
Domaines
Résumé
La fin d’année 2017 a été riche en mise à disposition de logiciels libres pour les fans de rétroconception. Dans cet article, nous allons voir deux de ces outils : cutter, une interface graphique au programme radare2 et RetDec, un décompilateur basé sur LLVM. Cet article présentera ces deux outils et leur utilisation avec un exemple dont nous possèderons le code source afin de plus facilement visualiser leur fonctionnement.

Instrumentation de machines virtuelles avec PyREBox

Magazine
Marque
MISC
Numéro
94
|
Mois de parution
novembre 2017
|
Domaines
Résumé
Qui n’a jamais rêvé de réaliser une analyse dynamique ou une session de debugging depuis l’extérieur du système cible (via l’hyperviseur ou l’émulateur) ? Qui n’a jamais rêvé de le faire en python ? Si vous vous reconnaissez dans ces deux phrases, PyREBox est fait pour vous. Cet article présente cet outil open source ainsi que son API python et comment il est possible de créer des extensions python afin d’automatiser des tâches.

Analyse du rançongiciel TeslaCrypt

Magazine
Marque
MISC
Numéro
85
|
Mois de parution
mai 2016
|
Domaines
Résumé
Début 2015, un nouveau rançongiciel a vu le jour : TeslaCrypt. Ce malware a tout d'abord ciblé des machines avec certains jeux vidéo spécifiques installés pour aujourd'hui cibler tout type de machine sous Windows. En mai 2015, des chercheurs (http://blogs.cisco.com/security/talos/teslacrypt) ont trouvé une faiblesse dans l'implémentation du déchiffrement des fichiers. Peu après cette découverte, les développeurs du malware ont implémenté une version 2.0 du rançongiciel corrigeant leur erreur. Aujourd'hui, nous sommes à la version 3.0 de ce code.

Introduction à Immunity Debugger et IDA Pro.

Magazine
Marque
MISC
Numéro
80
|
Mois de parution
juillet 2015
|
Domaines
Résumé
Que ce soit lors de recherche de vulnérabilités ou lors d'analyse de malwares, il est fréquent d'avoir recours à la rétro-ingénierie. C'est-à-dire l'analyse du code assembleur de l'objet à étudier. Cet article présente deux outils : Immunity Debugger et IDA Pro permettant respectivement de faire des analyses dynamiques et statiques. Afin de faciliter la compréhension, le malware Babar va être utilisé pour illustrer les explications.

Quand les dessins animés se « Rebelle »... Éléments de « Raiponce »...

Magazine
Marque
MISC
Numéro
79
|
Mois de parution
mai 2015
|
Domaines
Résumé
Ces mois de février et mars ont vu la médiatisation de trois malwares vraisemblablement développés par la même équipe. Un des éléments qui a fait beaucoup couler beaucoup d'encre est leurs noms : Bunny, Babar et Casper. Ces noms ont été choisis par les développeurs eux-mêmes. Je présume qu'ils doivent être fans de dessins animés ;). Cet article a pour but de décrire quelques fonctionnalités présentes dans chacun de ces trois malwares. 
Note : aucune attribution n’est évoquée dans l’article. Ce n'est pas le but de l’analyse. Cet article reste strictement dans le domaine technique.

Malware et UAC

Magazine
Marque
MISC
Numéro
78
|
Mois de parution
mars 2015
|
Domaines
Résumé
Lors de l'exécution d'un malware sur une machine cible, il est généralement intéressant d'obtenir les droits administrateur. Dans le cas de machines utilisées par des particuliers, l'utilisateur est très fréquemment déjà administrateur, mais ses processus sont exécutés avec des droits limités. C'est à ce moment que l'UAC (User Account Control) entre en jeu. Nous allons voir comment les malwares manipulent l'UAC afin de s'exécuter avec les droits administrateur.Nous ne parlerons (presque) pas d'élévation de privilèges, cet article étant basé sur le fait que l'utilisateur ciblé est dans le groupe administrateur de son poste de travail !

Analyse du malware Blame

Magazine
Marque
MISC
Numéro
76
|
Mois de parution
novembre 2014
|
Domaines
Résumé
Cet article décrit le malware Blame. Ce malware est un Remote Administration Tool (RAT) qui permet de prendre la main sur les systèmes infectés. La plus ancienne version identifiée dans la nature date de 2012, et la plus récente de cette année. Ce malware est donc utilisé depuis plus deux ans. Cet article décrit le dropper, ainsi que l’astuce mise en place par le développeur pour tromper les analystes. Il traite également des systèmes d'obfuscation mis en place.

Analyse du malware Tuscas

Magazine
Marque
MISC
Numéro
75
|
Mois de parution
septembre 2014
|
Domaines
Résumé
Cet article décrit le malware Tuscas, du dropper utilisé à la méthode d'injection, en passant par les « hooks ». Ses « hooks » ne sont pas sans rappeler ceux des malwares bancaires. Cette nouvelle menace fait partie de la catégorie des RAT/Stealers (prise de contrôle à distance et vol de données) datant de février 2014. Nous verrons ensuite les principales fonctionnalités de ce malware.

Petits malwares entre amis

Magazine
Marque
MISC
Numéro
65
|
Mois de parution
janvier 2013
|
Domaines
Résumé
Le monde de l'analyse de malware est un monde complexe. Il y a beaucoup de secrets, de non-dits et d'agressivité au sein du même côté : les gentils. Cet article va porter sur le partage d'échantillon de malware et sur la légitime défense numérique suivie d'exemples concrets. Je ne suis pas juriste, cet article a été écrit avec le clavier d'un technicien qui espère ne pas avoir fait trop d'erreurs.

Analyse d'un keylogger

Magazine
Marque
MISC
Numéro
65
|
Mois de parution
janvier 2013
|
Domaines
Résumé
Les keyloggers sont très intéressants pour des attaquants, ou des conjoints peu confiants. Ils permettaient à l'origine de sauvegarder tout ce que l'utilisateur saisissait sur son clavier ; de nos jours, ils sont beaucoup plus complets et permettent par exemple de faire des captures d'écran. Ces informations peuvent aller du mot de passe à l'écriture de documents complets. Les keyloggers utilisent des techniques particulières pour rester le plus discret possible et ne pas être repérés. Dans cet article, nous allons analyser le fonctionnement de Powered Keylogger développé par la société Eltima Software.