Devenir Analyste de Malwares

http://lepouvoirclapratique.blogspot.
fr/
Cdric BERTRAND Juin 2012
[Tapez un texte]
[Tapez un texte]
[Tapez un texte]
Devenir analyste de malwares

Crer son laboratoire danalyse, obtenir des chantillons, tudier et analyser les malwares, traquer les rseaux, exemples danalyses et de code-source, travailler dans lanalyse de malwares
lepouvoirclapratique.blogspot.fr
Analyse de malwares
Sommaire
1. Ltude des malwares .................................................................................................... 6 1.1. 1.2. Pourquoi analyser les malwares ? ........................................................................... 6 O trouver des malwares ? ..................................................................................... 6 Les forums / sites dchange / blogs danalyse................................................. 6 Les honeypots .................................................................................................. 7 Les trackers ..................................................................................................... 8 Par courriel....................................................................................................... 8 Navigation sur Internet ..................................................................................... 8 Crer son laboratoire danalyse de malwares ................................................... 9 Les distributions ddies lanalyse de malware ............................................10
1.2.1. 1.2.2. 1.2.3. 1.2.4. 1.2.5. 1.3. 1.3.1. 1.3.2. 2. 2.1.
Etudier les malwares en toute scurit .................................................................... 9
Les mthodologies danalyse ........................................................................................12 Lanalyse statique ou dsassemblage ....................................................................12 Dfinition .........................................................................................................12 Les outils .........................................................................................................13 Quelques exemples danalyses statiques ........................................................16 Les outils danalyses comportementales en ligne ............................................18 Les outils danalyses dynamiques en local ......................................................18 Exemples danalyses dynamiques...................................................................22 2.1.1. 2.1.2. 2.1.3. 2.2. 2.2.1. 2.2.2. 2.2.3. 2.3. 2.4.
Lanalyse dynamique ou lanalyse comportementale ..............................................17
Lanalyse de malwares avec Volatility ....................................................................23 Analyses diverses ..................................................................................................24 Analyser une url ..............................................................................................24 Analyser un document PDF et Microsoft Office malicieux ...............................25 Analyse de malwares mobiles .........................................................................27
2.4.1. 2.4.2. 2.4.3. 3. 3.1.
Ressources supplmentaires (analyse, tutoriaux, etc.) ..................................................29 Par o commencer ? ..............................................................................................29 Le cracking / le reverse engineering ................................................................29 Dbuter dans lanalyse de malwares ...............................................................29 3.1.1. 3.1.2. 3.2. 3.3. 3.4. 3.5. 3.6.
Quelques exemples danalyse ................................................................................29 Quelques codes-source de malwares ....................................................................30 Les ezines consacrs aux malwares ......................................................................30 Quelques livres sur les malwares ...........................................................................30 Challenges danalyse de malwares ........................................................................32 Exemples dannonces ............................................................................................33 Exemple dune offre pour un dvelopper de malwares ( ..................................33 Exemple doffre : Recherche dun analyste de malwares ................................33 Page 2
4.
Travailler dans lanalyse de malwares ...........................................................................33 4.1. 4.1.1. 4.1.2.
http://lepouvoirclapratique.blogspot.fr
Analyse de malwares
4.1.3. 4.2. 4.2.1. 4.2.2. 4.2.3. 4.3. 4.3.1. 4.3.2. 5. 5.1. 5.2. 5.3. 6. Exemple de poste propos par une bote de conseil sur Paris ........................34 Diplmes .........................................................................................................34 Comptences ..................................................................................................34 Exemples de comptences recherches lors dannonces ...............................35 XMCO .............................................................................................................35 Lexsi ...............................................................................................................36 Profil recherch ......................................................................................................34
Exemples darticles dentreprises franaises spcialises dans la scurit ............35
Traquer les malwares / les rseaux ...............................................................................37 Tracking des rseaux nigriens ..............................................................................37 Sinfiltrer dans les rseaux daffiliation ....................................................................38 Tracking de botnets ................................................................................................39
Conclusion ....................................................................................................................40
Page 3
Analyse de malwares
Table des illustrations

Figure 1 Ghost USB Malware ................................................................................................ 7 Figure 2 Malware Domain List ............................................................................................... 8 Figure 3 Exemple de malwares reu par pice jointe ............................................................ 8 Figure 4 Exemple d'architecture d'un laboratoire d'analyse de malwares .............................. 9 Figure 5 Interface de DeepFreeze ........................................................................................10 Figure 6 Remnux, distribution pour l'analyse de malwares ...................................................10 Figure 7 Distribution ZeroWine pour l'analyse de malwares .................................................11 Figure 8 Exemple danalyse par dsassemblage..................................................................13 Figure 9 Interface d'IDA ........................................................................................................13 Figure 10 Interface d'Immunity Debugger .............................................................................14 Figure 11 Analyse d'un fichier suspect avec Malware Analyser ............................................15 Figure 12 Analyse d'un fichier excutable avec PE Explorer ................................................15 Figure 13 Peframe, outil d'aide l'analyse d'excutables .....................................................15 Figure 14 Exemple d'utilisation de Hook Analyser Malware Tool ..........................................16 Figure 15 Radare, framework de reverse-engineering ..........................................................16 Figure 16 Exemple d'analyse dynamique .............................................................................17 Figure 17 Exemples d'analyses comportementales ..............................................................18 Figure 18 Analyse automatise avec Cuckoo Sandbox ........................................................19 Figure 19 Interface de Fiddler...............................................................................................20 Figure 20 Interface de Wireshark .........................................................................................20 Figure 21 Process explorer permet d'afficher les processus en profondeur ..........................21 Figure 22 Surveiller l'accs aux fichiers et au registre avec Process Monitor .......................22 Figure 23 Exemples de comportements suspects dtects par un HIPS ..............................22 Figure 24 Dtection d'un processus cach avec Volatility.....................................................23 Figure 25 Dtection des api hookes avec Volatility .............................................................23 Figure 26 Dtection des connexions tablies avec Volatility .................................................23 Figure 27 Analyse d'une URL suspecte ................................................................................24 Figure 28 Interface de Malzilla..............................................................................................24 Figure 29 Analyse de documents PDF malicieux..................................................................25 Figure 30 Cration et rcupration d'un fichier pdf malicieux avec Metasploit ......................26 Figure 31 Recherche de signatures malicieuses dans un document Microsoft Office ...........26 Figure 32 Augmentation des malwares sous Android ...........................................................27 Figure 34 recherche pour un dveloppeur de malwares .......................................................33 Figure 35 Recherche d'un analyste de malwares .................................................................33 Figure 36 Offre d'une boite franaise pour un travail Singapour ........................................34 Figure 37 Exemples de profils recherchs pour l'analyse de malwares ................................35 Figure 38 Ezine de XMCO ....................................................................................................35 Figure 39 Extrait article blog de Lexsi ...................................................................................36 Figure 40 Exemple darnaque nigrienne .............................................................................37 Figure 41 Localisation des escrocs nigriens .......................................................................38 Figure 42 Dialogue avec un des cybercriminels ...................................................................38 Figure 43 Tentative d'accs aux interfaces d'administration des sites des cybercriminels ....38 http://lepouvoirclapratique.blogspot.fr Page 4
Analyse de malwares
Glossaire
Adware Analyse forensique Backdoor Blindage Botnet Cheval de troie Cryptographie DDos Exploit Exploits pack Logiciel publicitaire Analyse dun systme suite un incident de scurit Outil permettant de contrler un ordinateur distance Procd permettant de ralentir lanalyse dun malware Ensemble de machines infectes relies entre elles Idem que Backdoor Techniques permettant dassurer la confidentialit des donnes Technique qui consiste saturer un service pour le rendre indisponible Programme permettant dexploiter une vulnrabilit Outil permettant dinfecter un ordinateur de manire automatique par la simple consultation dun site web Exploit/faille 0-Day Vulnrabilit pour laquelle il nexiste pas encore de correctif Honeypot Simulation dune machine vulnrable afin de pouvoir tudier les attaques de malwares ou des pirates Malware Logiciel malveillant (vers, virus, backdoors, etc.) Obfuscation Procd consistant rendre un code viral plus compliqu comprendre Packer Logiciel utilis pour rendre un malware indtectable aux antivirus Phishing Technique utilise pour soutirer des informations un utilisateur Ransomware Logiciel malveillant bloquant lordinateur Reverse engineering Technique consistant dcompiler un programme afin de lanalyser Rootkit Ensemble de techniques permettant de masquer la prsence Sandbox Procd consistant excuter une application dans un environnement scuris Spams Courriel indsirable Tracker Logiciel de suivi
Documents de rfrence
[MALEKAL] [MISC] [MISC] [MISC] [MISC] [SecurityVibes ] [d4 n3ws] [Malekal] Projet Antimalwares Recherche froid de malwares sur support numrique Analyse de documents malicieux : Les cas PDF et MS Office Analyse de malwares sans reverse engineering Analyse de malwares avec Cuckoo Sandbox Analyse de malware la sauce maison News underground Site consacr la lutte contre les malwres
Page 5
Analyse de malwares
1. Ltude des malwares

Ce document est un composant du dossier sur les Malwares ; Il est la suite du premier article consacr ltat de lart des malwares.
1.1. Pourquoi analyser les malwares ?

Il ny a de nombreuses raisons pour analyser les malwares. Par exemple : - Apprendre sen protger - Passion / dfi intellectuel (fonctionnement des programmes malveillants, volution des mthodes dinfection, etc.) - Identifier les actions malveillantes et les impacts dun malware sur un systme (mots de passe drobs, vol dinformations personnelles, etc.) - Dterminer les causes dun incident (analyse forensique 1 suite un incident de scurit) - Sintroduire dans les rseaux cybercriminels / Arrter leurs auteurs Avec plus de 70000 nouveaux malwares crs par jour (chiffres prvisionnels en 2012), il y a de quoi faire.
1.2. O trouver des malwares ?

Pour trouver des malwares analyser, il y a de nombreux moyens. Il est bien sr possible de se balader sur Internet et de cliquer sur tout lien suspect jusqu ce que lordinateur se comporte de manire trange. Mais il y a aussi des manires plus simples et plus scurises. En voici quelques unes.
1.2.1. Les forums / sites dchange / blogs danalyse

Il existe toute une communaut autour de lanalyse de malwares : forums, sites, blogs, etc. Certains de ces sites mettent disposition des chantillons permettant deffectuer des analyses. Quelques adresses : - [EN] KernelMode : Forum dchange et danalyse de malwares. Met disposition des lecteurs des chantillons - [FR] Malware.lu : Excellent site mettant disposition des chantillons de malwares et proposant des analyses - [EN] Contagio Exchange : Site permettant dchanger et de tlcharger des malwares (EN) - [EN] CrowdRE : Plate-forme collaborative danalyse de malwares
http://fr.wikipedia.org/wiki/Analyse_forensique
Page 6
Analyse de malwares
Sites et blogs consacrs ltude des malwares, quelques exemples : - [FR] VadeRetro Sales malwares : Articles et tutoriaux sur les malwares - [FR] Malekals Site : Excellent site consacr lentraide informatique. De nombreux exemples danalyses comportementales (FR) - [FR] Malware Analysis & Diagnostics : Analyse de malwares - [EN] FireEye Malware Intelligence Lab : Site de recherche et danalyses de malwares - [EN] Evil3ad : Site danalyse de malwares - [EN] M86SecurityLabs : Site consacr aux attaques (malwares, cybercriminalit) - [EN] Fun in malwares analysis (tutoriaux sur lanalyse de malwares) Les blogs des compagnies antivirales publient aussi de nombreuses analyses : - Blog de Kaspersky - Blog dEset - Blog de Norton - Blog de Sophos Enfin le site Secubox Labs offre aussi un flux rss de sites / blogs consacrs aux malwares.
1.2.2. Les honeypots

Un honeypot permet dmuler des services sur une machine afin de simuler le fonctionnement dune machine de production 2 . En gnral, cest un programme ou un ordinateur volontairement vulnrable destin attirer et piger les hackers. Pour plus dinformations sur les honeypots, vous pouvez consulter les articles suivants : - Les honeypots par Franois ROPER - Installation et configuration dun honeypot : Honeyd. Il existe des honeypots spcialement ddis la recherche et lanalyse de malwares. Si le sujet vous intresse, je vous invite consulter les articles suivants : - [FR] Dionaea (anciennement Nepenthes) - [FR] Collecting autonomous Spreading Malware Using High-Interaction Honeypots - [FR] Atelier : Collecte de malwares avec un Honeypot - [FR] Mon honeypot, Mon Zoo (Trojan, RAT, Stealers) et abuse Orange - [FR] Etude de botnets Rcemment, un nouveau honeypot consacr la dtection des malwares se diffusant par les priphriques USB est sorti : Ghost USB honeypot3.
Figure 1 Ghost USB Malware
2 3
http://goldkey.developpez.com/tutoriels/linux/installation-configuration-honeypot/ http://internetpol.fr/wup/?Ghost:+A+honeypot+for+USB+malware#4988283791e3e98af6b71b490567f4b7
Page 7
Analyse de malwares
1.2.3. Les trackers
De nombreux sites traquent les malwares et mettent disposition des liens redirigeant vers des sites web infects. En suivant les liens, on tombe donc facilement sur des sites diffusant des malwares de manire active : - Malware Domain List : Site qui rpertorie des url malicieuses. Attention toutes adresses cites diffusent des malwares, vous y rendre sans environnement adapt (virtualisation, sandboxing) est trs risqu.
Figure 2 Malware Domain List
ZeuS Tracker : Tracker du malware ZeuS. Malware Domain Blocklist : Tracker de domaines diffusant des malwares Malwaregroup : Base de donnes de malwares.
1.2.4. Par courriel

Un autre moyen aussi pour rcuprer des malwares est de se crer une adresse de courriel spcialement ddie cette tche et de diffuser cette adresse tout va (forums, mailing-list, etc.). Tt ou tard, de nombreux courriels indsirables contenant des malwares apparaitront.
Figure 3 Exemple de malwares reu par pice jointe
1.2.5. Navigation sur Internet

Comme nous lavons vu, certains sites sont connus pour diffuser des malwares. Cest le cas par exemple des sites de cracks / keygens, casinos, etc. Les sites qui diffusent des logiciels suspects (exemple : crack du jeu Diablo3, bot qui gagne tout coup au poker) sont de gros vecteurs de malwares.
Page 8
Analyse de malwares 1.3. Etudier les malwares en toute scurit

Nous avons vu diffrentes mthodes pour rcuprer des malwares. Maintenant comment les tudier en toute scurit ? Il est bien sr impensable de les excuter et de les analyser sur son poste de travail. Il convient donc de crer un environnement spcial permettant de les analyser en toute scurit4.
1.3.1. Crer son laboratoire danalyse de malwares

Lanalyste va donc crer un environnement ddi lanalyse de malwares. Pour ceux qui souhaiteraient crer leur laboratoire danalyse, voici une liste darticles : - [FR] Lanalyse dynamique de malwares pour les nuls - [EN] 5 Steps to Building a Malware Analysis Toolkit Using Free Tools - [EN] Creating a Malware analysis Laboratory - [EN] [SANS] Malware Analysis : Environment Design And Architecture - [EN] Building a Malware Analysis Lab - [EN] Building your own malware lab - [EN] How to set up your own Pen Testing/Hacking Lab Network using a Single System
Figure 4 Exemple d'architecture d'un laboratoire d'analyse de malwares
Si vous dsirez analyser les malwares sous les smartphones et en particulier sous Android, voici un article traitant de la mise en place dun laboratoire danalyse pour Android : - [EN] Notes on Setting Up an Android Pentest Lab
1.3.1.1. La virtualisation
La virtualisation a rvolutionn de nombreux domaines de linformatique dont le domaine de lanalyse des malwares. Il devient ainsi simple et rapide de tester des malwares dans des environnements contrls afin de dcouvrir leurs actions. Parmi les outils les plus utiliss dans le domaine de la virtualisation personnelle, nous pouvons citer principalement Vmware (payant) ainsi que VirtualBox (gratuit).
http://www.criticalsecurity.net/index.php/topic/31366-how-to-safely-analyse-malware/
Page 9
Analyse de malwares
Par contre attention car certains malwares possdent des fonctionnalits de dtection denvironnements virtuels et stoppent leur excution (ex : Citadel 5 ). Pour contrer ceci et malgr tout effectuer une analyse dynamique, il existe une parade : DeepFreeze.
1.3.1.2. Deep freeze

DeepFreeze6 est un outil qui rinitialise les donnes du disque dur chaque dmarrage. Il est donc possible dexcuter un malware sous un poste protg par Deepfreeze et au prochain dmarrage de la station, le disque tant rinitialis, le malware aura disparu. Actuellement trs peu de malwares dtectent lutilisation de DeepFreeze, ce qui permet de pouvoir analyser un malware sans que celui-ci ne dtecte quil est excut dans un environnement protg.
Figure 5 Interface de DeepFreeze
Un article sur lanalyse de malwares avec DeepFreeze : Forensic analysis of Frozen hard drive using Deep Freeze.
1.3.2. Les distributions ddies lanalyse de malware

Il existe aussi des distributions consacres spcialement lanalyse de malwares, une delle est particulirement connue : REMnux. Cest une distribution Ubuntu conue spcialement pour lanalyse de malwares. Elle contient des outils pour analyser la mmoire, des documents pdf vrols, le rseau, etc. Pas mal dinformations dans larticle suivant : [KORBEN] Comment faire de lanalyse de malwares.
Figure 6 Remnux, distribution pour l'analyse de malwares
5 6
http://cert.lexsi.com/weblog/index.php/2012/06/21/429-sorry-mario-but-the-princess-is-in-another-citadel http://www.deepfreeze.fr/
Page 10
Analyse de malwares
Il existe aussi une distribution nomme Zero Wine qui permet danalyser le comportement dun malware : le malware est excut dans un bac sable (sandbox) puis de nombreux rapports sont gnrs7.
Figure 7 Distribution ZeroWine pour l'analyse de malwares
http://forum.malekal.com/zero-wine-malware-analysis-tool-t16546.html
Page 11
Analyse de malwares
2. Les mthodologies danalyse

Il y a 3 mthodes danalyse pour les malwares : la mthode statique qui consiste analyser le code du malware en le dcompilant, la mthode dynamique qui consiste analyser le comportement du malware, et enfin la mthode mixte qui analyse la fois le code et le comportement du malware. Voyons ces mthodes en dtail.
2.1. Lanalyse statique ou dsassemblage

2.1.1. Dfinition
Lanalyse statique ou dsassemblage (reverse engineering) consiste ouvrir un fichier excutable avec des outils tel que IDA pro8, ou Metasm9 par exemple afin de retrouver et danalyser le code assembleur correspondant au contenu binaire du fichier. Certains outils avancs peuvent mme offrir des fonctions de dcompilation permettant de reconstruire le code source de haut niveau employ au dpart (en gnral C).10 En analysant le code, il est ainsi possible dtudier le comportement de chaque partie du programme et den dduire les fonctionnalits. Lavantage de cette mthode est quen thorie il est possible danalyser tout le code, mme celui ne sexcutant que sous certaines conditions particulires. De nombreux malwares ont par exemple des fonctions pour ne pas sexcuter dans un environnement virtuel11, ce qui empche une analyse dynamique. Dans ce cas, seul le dsassemblage peut permettre lanalyse du malware. Il est aussi possible de trouver dventuelles routines de camouflage employes afin de masquer les donnes sensibles du code malveillant (mot de passe, cls de chiffrement, adresse des serveurs, etc.) Nanmoins lanalyse statique reprsente aussi certains inconvnients : - Elle ncessite de grandes comptences afin de pouvoir lire et danalyser du code machine. Il faut connatre les correspondances systmes entre le code, les langages de haut niveau et les appels systmes. - Lanalyse complte dun fichier peut reprsenter beaucoup de temps (de plusieurs jours plusieurs semaines), de comptences et dnergie selon la taille et la complexit du code (exemple : virus Whale12) - Certains malwares sont protgs contre le dsassemblage laide de techniques de compression et de chiffrement. Ces protections, jamais parfaites, peuvent nanmoins ralentir lanalyse et demander beaucoup defforts pour tre casses (exemple : virus Bradley13, Rustock14, le blindage viral15)
8 9
https://fr.wikipedia.org/wiki/IDA_Pro_%28logiciel%29 http://code.google.com/p/metasm/ 10 http://actes.sstic.org/SSTIC08/Dynamic_Malware_Analysis_Dummies/SSTIC08-article-LagadecDynamic_Malware_Analysis_Dummies.pdf 11 http://www.symantec.com/connect/blogs/relentless-zbot-and-anti-emulations 12 https://en.wikipedia.org/wiki/Whale_%28computer_virus%29 13 http://www.unixgarden.com/index.php/misc/le-virus-bradley-ou-lart-du-blindage-total 14 http://www.viruslist.com/fr/analysis?pubid=200676161 15 http://www.springerlink.com/content/r25773237346x762/
Page 12
Analyse de malwares
Voil un exemple du code assembleur dun malware.
Figure 8 Exemple danalyse par dsassemblage
Comme nous pouvons le constater, la comprhension dun programme dcompil sans des connaissances en assembleur nest pas aise. Voyons quelques outils utilises pour effectuer une analyse statique dun programme.
2.1.2. Les outils

2.1.2.1. Les dsassembleurs
Parmi les outils les plus connus pour le dsassemblage, il y a bien sr IDA. IDA est un dsassembleur commercial supportant une grande varit de formats dexcutables pour diffrents processeurs et systmes dexploitation.
Figure 9 Interface d'IDA
Pour veux qui dsirent sinitier IDA, voici quelques tutoriaux : - [EN] [TUTS4YOU] IDA Pro - [EN] Reversing Basics - A Practical Approach Using IDA Pro - [EN] Tigas Video tutorial Series on IDA pro http://lepouvoirclapratique.blogspot.fr Page 13
Analyse de malwares
- [EN] Using IDA Pros Debugger Il existe aussi un autre dsassembleur de plus en plus utilis : Metasm16 . Cest un outil permettant de scripter la manipulation de binaires. Il fournit aussi des fonctionnalits de debugging17. Trs flexible, il est trs utile pour lanalyse de malwares. Quelques articles sur Metasm : - [FR] Exploitation automatique avec Metasm - [EN] Using Metasm To Avoid Antivirus Detection - [FR] Metasm for fun - [FR] [SSTIC] Metasm
2.1.2.2. Les debuggers

Parmi les autres outils de tout bon reverser, se trouvent les debuggers. Un dbugger est un programme qui permet dexcuter pas pas une application afin de dcouvrir des bugs. Cest un outil trs utilis en analyse de malwares avant de pouvoir analyser leur fonctionnement. Parmi les dbuggers les plus connus, nous trouvons OllyDbg 18 , SoftIce 19 et Immunity Debugger20. Immunity Debugger semble tre le plus puissant des outils du genre puisquil semble possible de gagner plus de 50% sur le temps de dveloppement des exploits21.
Figure 10 Interface d'Immunity Debugger
Quelques tutoriaux sur le dbugging : - [EN] Malware Analysis Tutorial 2 - Ring3 Debugging - [EN] Debugging Injected Code with IDA Pro - [EN] [BLACKHAT] Covert Debugging - [FR] importer un fichier map depuis IDA vers Immunity Debugger
16 17
http://metasm.cr0.org/ https://fr.wikipedia.org/wiki/D%C3%A9bogueur 18 http://www.ollydbg.de/ 19 http://www.commentcamarche.net/forum/affich-2258041-telecharger-soft-ice-desasemblage-win32dasm 20 https://immunityinc.com/products-immdbg.shtml 21 http://korben.info/immunity-debugger-plus-fort-que-softice-et-ollydbg.html
Page 14
Analyse de malwares
2.1.2.3. Autres outils daide lanalyse statique
2.1.2.3.1. Malware analyser Un outil utile est Malware Analyser qui permet une analyse statique et dynamique dun fichier suspect (scan virustotal, identification du packer utilis, dump dun processus, etc.):
Figure 11 Analyse d'un fichier suspect avec Malware Analyser
2.1.2.3.2. PE Explorer PE Explorer est un outil permettant dexaminer et de modifier les fichiers EXE et DLL de Windows.
Figure 12 Analyse d'un fichier excutable avec PE Explorer
2.1.2.3.3. Peframe Peframe est un outil crit en python afin daider dans lanalyse dexcutables Windows (extraction de chaines, recherche dApi suspectes, Hash MD5, etc.)
Figure 13 Peframe, outil d'aide l'analyse d'excutables
Page 15
Analyse de malwares
2.1.2.3.4. Hook Analyser Malware Tool Hook Analyser Malware Tool est un outil permettant de poser un hook22 sur une API 23dans un processus et de rechercher une chaine de caractres spcifique.
Figure 14 Exemple d'utilisation de Hook Analyser Malware Tool
2.1.2.3.5. Radare Concernant les framework de reverse-engineering, nous pouvons citer Radare. Cest un framework permettant de dsassembler, de dbugger, danalyser et de manipuler les fichiers binaires. Des exemples danalyse avec Radare sont disponibles ici.
Figure 15 Radare, framework de reverse-engineering
2.1.2.3.6. Reverse Engineering avec Python Un article qui traite des outils Python permettant de faire du reverse engineering : Python Arsenal for RE.
2.1.3. Quelques exemples danalyses statiques

Pour ceux qui dsirent lire quelques analyses de malwares par reverse engineering, voici quelques articles en franais : - [FR] Analyse du malware Pdnuha.ql
22 23
https://fr.wikipedia.org/wiki/Hook_%28informatique%29 https://fr.wikipedia.org/wiki/Interface_de_programmation
Page 16
Analyse de malwares
[MALWARE.LU] Analyse statique du malware duqu [REPO ZENK] Analyse de code malveillant [FR] Reversing dun packer de malware [EN] Malware Reverse Engineering [FR] [MALAWRE.LU] Analyse dun packer. [EN] Analyzing malware [ slackbot ] - II [EN] Decrypting malware strings with IDA's Appcall [EN] Analysis of MSMSGS.EXE [EN] Analysis of MBR File System Infector
2.2. Lanalyse dynamique ou lanalyse comportementale

Contrairement lanalyse statique, lanalyse dynamique consiste excuter le malware dans un environnement contrl afin dobserver ses actions et den dduire ses fonctionnalits. Par rapport au dsassemblage, cette mthode prsente de nombreux avantages : - Elle est beaucoup plus rapide. En quelques minutes, il est dj possible davoir un aperu des principales fonctionnalits du malware. - Elle ne ncessite pas de connaissances en assembleur ou en programmation. - Elle nest pas sensible aux techniques de protection des malwares (obfuscation24, blindage, etc.) Par contre, lanalyse comportementale nest pas efficace dans certains cas : - Si certaines fonctionnalits du code malveillant ncessitent des conditions particulires pour tre excutes, nous pouvons passer ct avec ce type danalyse - Certains malwares contiennent des fonctionnalits permettant de dtecter quils sont dans un environnement contrl et de ne pas sexcuter dans ces cas l. 25 - Lanalyse comportementale ne permet pas toujours daccder aux informations sensibles contenues dans le malware Voici par exemple un rsultat danalyse dynamique :
Figure 16 Exemple d'analyse dynamique
Il existe des outils permettant de mener des analyses sommaires de malwares mais suffisamment compltes sans avoir besoin de dcompiler les fichiers suspects ( reverse engineering26). Par contre, mme si ce type doutils sont dune aide non ngligeable pour une premire approche dun malware, ils ne remplacent pas une analyse pousse et le recours tt ou tard du reverse engineering. Nous allons voir 2 types
24 25
http://isyou.hosting.paran.com/papers/bwcca10-2.pdf http://blog.fireeye.com/research/2011/01/the-dead-giveaways-of-vm-aware-malware.html 26 http://fr.wikipedia.org/wiki/R%C3%A9troing%C3%A9nierie
Page 17
Analyse de malwares
doutils qui permettent de raliser ce genre de tches : les outils automatiques en ligne et les outils automatiques en local.
2.2.1. Les outils danalyses comportementales en ligne

Ils permettent de gagner un temps considrable et deffectuer une leve de doute dans un temps trs court. Ils permettent en grande majorit de qualifier la menace. o Anubis227 o CWSandbox28 o JoeBox29 o Threat Expert30 o NSI31 Ces outils effectuent une analyse comportementale ou dynamique. Ces outils ne peuvent pas donner une analyse 100% fiable car ils fonctionnent en environnement virtuel et certains malwares ont des fonctionnalits pour lutter contre. En cas de doute, on peut croiser les analyses. Si les rsultats contradictoires persistent, une seule mthode : lanalyse manuelle. Nanmoins la plupart des outils danalyse sont mis jour rgulirement afin de lutter contre ce type de dtection. Ci-dessous, des exemples danalyses qui permettent de savoir rapidement les capacits du malwares, les fichiers crs, les entres modifies, les fichiers tlchargs, etc.
Figure 17 Exemples d'analyses comportementales
2.2.2. Les outils danalyses dynamiques en local

En gnral, par analyse locale, on entend lexcution dun fichier suspect sur une machine virtuelle afin danalyser son comportement et de dterminer le caractre malicieux dun fichier. Il existe des grandes lignes permettant danalyser un malware laide de machines virtuelles en mode manuel, nanmoins le caractre rptitif des oprations (analyse des
27 28
http://anubis.iseclab.org/ http://mwanalysis.org/ 29 http://www.joesecurity.org/ 30 http://www.threatexpert.com/ 31 http://netscty.com/Services/Sandbox
Page 18
Analyse de malwares
fichiers cres, analyse des flux rseau, restauration de la machine virtuelle, etc.) plaide en faveur dune automatisation complte du processus.
2.2.2.1. Cuckoo Sandbox

Cest lobjectif de Cuckoo Sandbox32. Ce bac sable automatis (sandbox 33) permet en quelques minutes dobtenir une premire estimation des capacits dun malware et de ses communications avec lextrieur ou encore de connatre les fichiers cres sur le systme. Gratuit, il ncessite dtre install sur une station hte saine et de lui soumettre des binaires Windows qui seront analyss de faon totalement automatise dans une machine virtuelle.
Figure 18 Analyse automatise avec Cuckoo Sandbox
Par rapport dautres services en ligne de ce type, Cuckoo permet danalyser trs rapidement en premire approche des binaires ou documents suspects dans un environnement scuris tout en gardant la confidentialit des donnes ce que ne permettent pas les services de ligne. Pour ceux que le sujet intresse, quelques liens sur Cuckoo: - Le site officiel - Analyzing malware with Cuckoo Sandbox - Cuckoo in Flame
32 33
http://www.cuckoobox.org/ http://infomars.fr/forum/index.php?showtopic=146
Page 19
Analyse de malwares
2.2.2.2. Monitorer un malware sur un ordinateur
Une autre mthode danalyse dynamique de malware consiste aussi tout simplement excuter un malware dans un environnement virtualis et monitorer (surveiller) les actions quil excute (accs/cration/modification aux fichiers, url accdes, accs au registre, etc.). Voici quelques outils pour surveiller les actions ralises sur un poste Windows. Un bon article sur le thme est aussi paru dans MISC : [FR] Misc Dtection de malwares par analyse systme 2.2.2.2.1. Surveiller le rseau Concernant la surveillance du rseau, 2 outils sont trs utiles cette tche : - Fiddler : Proxy http qui permet dintercepter, danalyser et mme de modifier la vole toutes les requtes et changes entre un PC et un serveur Web.
Figure 19 Interface de Fiddler
Wireshark : Analyseur rseau. Capable de capturer les paquets qui transitent par un rseau et de les analyser.
Figure 20 Interface de Wireshark
Quelques tutoriaux sur ces outils : - Using Wireshark filters for capturing malware [EN] - Identify Possible Infection of Malware Into the Wireshark Capture File [EN] - [MALEKAL] Wireshark : sniff/analyse rseau - [MALEKAL] Fiddler : Monitorer le traffic HTTP
Page 20
Analyse de malwares
2.2.2.2.2. Surveiller les processus Concernant la surveillance des processus, quelques outils utiles : - Process Explorer : Outil qui permet de grer et dafficher les processus Windows en profondeur.
Figure 21 Process explorer permet d'afficher les processus en profondeur
Actmon Process Monitoring : Donne de trs nombreuses informations sur les processus courants (processus parent, chemin, droits, etc.)
2.2.2.2.3. Surveiller laccs aux fichiers Indispensable pour lanalyse dynamique de malwares, Process Monitor est un outil de surveillance avanc pour Windows qui affiche les activits du registre, des processus et des fichiers en temps rel. Il associe les fonctionnalits de deux utilitaires Sysinternal FileMon et Regmon qui surveillaient le systme de fichiers et le registre en temps rel.
Page 21
Analyse de malwares
Figure 22 Surveiller l'accs aux fichiers et au registre avec Process Monitor
Quelques articles sur cet outil : - Using Procmon for finding malware - Using procmon.exe from Sysinternals to examine for malware, Trojans and bots. 2.2.2.2.4. La surveillance de toutes les actions ralises : les IDS Un IDS / HIPS34 (Intrusion Detection System / Host Intrusion Prevention System) est un outil qui surveille le systme afin dy dtecter toute activit ou toute modification suspecte. Lorsquun vnement douteux est dtect, lIDS peut alerter ou annuler la modification.
Figure 23 Exemples de comportements suspects dtects par un HIPS
Voici quelques IDS/HIPS avec les guides dutilisation (extraits du site Malekal.com) : - ProcessGuard - System Safety Monitor - StormShield Personal Edition Avec cet ensemble doutils, il est possible de surveiller un poste et de savoir les actions ralises par un programme.
2.2.3. Exemples danalyses dynamiques

Quelques exemples danalyse dynamique : - [EN] Analyzing Malware [slackbot] - [FR] Analyse dynamique dun botnet - [EN] Dynamic malwares Analysis for dummies
34
http://forum.malekal.com/ameliorer-securite-votre-avec-les-ids-hips-t3285.html
Page 22
Analyse de malwares 2.3. Lanalyse de malwares avec Volatility

Je ne savais pas comment classer cette nouvelle mthode danalyse des malwares : Lanalyse avec Volatility. Volatility est un framework multiplateforme en Python incorporant une suite doutils afin danalyser la RAM et permet de rcuprer de trs nombreuses informations grce ces divers plugins. Lavantage de Volatility est quil permet deffectuer ces rcuprations sur un autre systme, il suffit pour cela de sauvegarder la mmoire vive. Nous avons donc un mlange danalyse en mmoire vive et danalyse statique. Concernant Volatility, de nombreux plugins ont t dvelopps afin de faciliter lanalyse de malwares : - [EN] Exemples danalyse de malwares avec Volatility - [EN] Liste des plugins Volatility pour lanalyse de malwares - [EN] Plugin Vscan - [FR] Un exemple de plugin Volatility : winobj.py Quelques exemples danalyse de malware avec Volatility : - [EN] Volatility Memory Forensics | Basic Usage for Malware Analysis - [EN] Malware Analysis with SIFT and Volatility - [EN] Zeus in Volatility - [EN] Malware Hunting avec Volatility - [EN] Analyse de Carberp avec Volatility Quelques captures :
Figure 24 Dtection d'un processus cach avec Volatility
Figure 25 Dtection des api hookes avec Volatility
Figure 26 Dtection des connexions tablies avec Volatility
Volatility est vraiment un framework trs puissant pour lanalyse de malwares grce ces nombreux plugins.
Page 23
Analyse de malwares 2.4. Analyses diverses

2.4.1. Analyser une url
De nombreux malwares se propagent par les sites web (voir dossier Malwares : Etat de lart les exploits pack) Si une URL a t dtermine comme suspecte (analyse de la navigation Internet, logs du proxy), il ne faut surtout pas se rendre dessus avec un navigateur au risque de se faire infecter ! Pour savoir si un site web est malicieux, de nombreux sites sont une aide prcieuse tels quel Wepawet 35 , Anubis 36 , URLQuery 37 , JSUNPack38. Ces outils scannent un site web afin de dterminer si des scripts malicieux sont prsents et de les identifier le cas chant.
Figure 27 Analyse d'une URL suspecte
Les sites web sont actuellement une des sources dinfection les plus probables39. Un outil trs utile pour lanalyse de sites web malicieux est Malzilla. Cest un outil qui analyse des URL la recherche de codes malicieux. Il propose plusieurs systmes de dcodage et daffichage du texte (hexadcimal, texte). Il possde aussi un module de conversion. Trs utilis pour analyser les pages web malicieuses.
Figure 28 Interface de Malzilla
35 36
http://wepawet.iseclab.org/ http://anubis.iseclab.org/ 37 http://urlquery.net/ 38 http://jsunpack.jeek.org/ 39 http://www.melani.admin.ch/dienstleistungen/archiv/01126/index.html?lang=fr
Page 24
Analyse de malwares
2.4.2. Analyser un document PDF et Microsoft Office malicieux
Les documents malicieux se sont normment dvelopps ces dernires annes et constituent un vecteur dattaque trs utilis par les malwares. Nous nous focaliserons ici sur les documents de la famille Microsoft Office et les documents PDF, ceux-ci pouvant se rvler trs complexes. Du point de vue de lanalyste, la problmatique qui se pose est de savoir si le document analyser possde une charge malicieuse. La gnration de documents malicieux est trs simple et nombreux sont les outils dintrusion qui possde de telles fonctionnalits (ex : Backtrack).
2.4.2.1. Analyse de documents PDF

Lanalyse de ce type de document pouvant se rvler fastidieuse, il existe un certain nombre doutils qui peuvent aider cette tche parmi lesquels : PDF Stream Dumper40, Gallus41, JsunPack, PDF Examiner42. Il suffit de soumettre un fichier pdf suspect pour que celui-ci soit analys :
Figure 29 Analyse de documents PDF malicieux
Plus doutils sont disponibles sur cette page : Dix outils pour auditer gratuitement la scurit des PDF.
40 41
http://sandsprite.com/blogs/index.php?uid=7&pid=57 https://gallus.honeynet.org.my/ 42 http://malwaretracker.com/pdf.php
Page 25
Analyse de malwares
Pour crer un fichier pdf malicieux afin de sentrainer lanalyse, le plus simple est encore dutiliser Metasploit43 :
Figure 30 Cration et rcupration d'un fichier pdf malicieux avec Metasploit
Quelques exemples danalyses de fichiers PDF malicieux : - [FR] Owned Analyse dun fichier pdf malicieux - [EN] Free Malicious PDF Analysis Ebook - [EN] [SANS] Getting Owned by Malicious PDF - Analysis
2.4.2.2. Analyse de documents Microsoft Office

Concernant la dtection de documents Microsoft Office malicieux, il existe 3 outils qui peuvent aider un analyste pour cette tche : - OfficeMalScanner 44 : Cet outil recherche des signatures correspondant des instructions communment rencontres dans les shellcodes45.
Figure 31 Recherche de signatures malicieuses dans un document Microsoft Office
43 44
OfficeCat46 : Outil de dtection dexploits Office.
http://www.metasploit.com/ http://www.reconstructer.org/code/OfficeMalScanner.zip 45 http://fr.wikipedia.org/wiki/Shellcode
Page 26
Analyse de malwares
OffVis47 : Outil qui possde un module de dtection dexploits. Il permet de trouver assez facilement o se loge le code malveillant et la vulnrabilit exploite dans un document Microsoft Office malicieux. La complexit des formats Office ntant pas toujours simple analyser, cet outillage rend la tche plus aise. Quelques analyses de documents office malicieux : - [EN] New advances in Ms Office malware Analysis - [EN] Analyzing Malicious Documents Cheat Sheet - [EN] How to Extract Flash Objects From Malicious MS Office Documents
2.4.3. Analyse de malwares mobiles

2.4.3.1. Analyse de malwares Android
Android est le systme dexploitation dvelopp par Google pour les smartphones, PDA (assistants numriques personnels de type Palm et Pocket PC) et terminaux mobiles. Lavantage dAndroid sur dautres OS (type Apple) est que celui-ci est open-source, ce qui signifie quil est possible de consulter, modifier et de redistribuer le code source dans le cadre de licences libres. Cest actuellement le systme dexploitation le plus utilis sur les priphriques mobiles. Nanmoins cet avantage peut aussi vite se transformer en inconvnient, les cybercriminels ont vite compris le potentiel de dvelopper des applications malveillantes. Actuellement Android est le systme le plus vis par les malwares : les codes malveillants se multiplient depuis dj quelques annes (+472% annonc ici48 depuis juillet 2011).
Figure 32 Augmentation des malwares sous Android
Les raisons de ce dluge dapplications malveillantes sont lordre de 2 principalement : Android est open-source donc il est trs simple de crer des applications pour cette plateforme et cest le systme le plus utilis actuellement. Pour savoir comment analyser une application sous Android, je vous invite consulter le document suivant : [FR] Analyse de malwares sous Android o vous apprendrez comment : - Analyser une application android de manire statique et dynamique - Dtecter si une application est malveillante / suspecte - Savoir si une application a t copie - Sinitier au trs puissant framework Androguard
46 47
http://www.snort.org/vrt/vrt-resources/officecat http://www.microsoft.com/en-us/download/details.aspx?id=2096 48 http://iphonesoft.fr/2011/11/17/proliferation-de-malwares-sous-android-472
Page 27
Analyse de malwares
Crer son laboratoire danalyse / Trouver des applications suspectes analyser Etc.
2.4.3.2. Analyse de malwares sous Iphone

Contrairement Android, lIphone est relativement pargn par les malwares. Ceci est d en partie son systme propritaire et lApp Store qui est beaucoup plus restrictif que celui de que le march dapplications de Google.
Lanalyse des malwares sous Iphone ntant pas ma spcialit, je me contenterais de renvoyer le lecteur intress vers les articles suivants : - [EN] Iphone Malware Paradigm - [EN] An Analysis of the iKee.B iPhone Botnet - [EN] IPhone Malware Analysis
Page 28
Analyse de malwares
3. Ressources supplmentaires (analyse, tutoriaux, etc.)

3.1. Par o commencer ?
3.1.1. Le cracking / le reverse engineering
Les malwares actuels tant relativement complexes, il est conseill aux dbutants souhaitant se lancer dans le reverse-engineering de malwares, de tout dabord sinitier au cracking. Le cracking consiste modifier un logiciel pour modifier son code, par exemple pour utiliser gratuitement un logiciel payant. Cracker un logiciel requrant sa dcompilation, cela reprsente une bonne initiation lassembleur. Pour ceux qui le souhaitent, voici quelques articles / sites traitant de ce sujet : - [FR] Pack dinitiation au cracking (mot de passe dhos) : Ce pack qui a pour but dinitier au Cracking sans avoir de base au niveau de l'informatique, contient quasiment tout les Softs ncessaires pour le Crack, ainsi que de nombreux cours sous format Pdf - [FR] [REQUISITORY ZENK] - Sinitier au reverse engineering - [EN] Where to start in reverse engineering ? - [EN] Learn Reverse Engineering - [FR] [REQUISITORY ZENK] Tutorial de reverse engineering
3.1.2. Dbuter dans lanalyse de malwares

Pour ceux qui souhaiteraient analyser leur premier malware, quelques articles intressants : - [FR] Analyse de code malveillant - [FR] Analyse du fonctionnement dun programme suspect - [EN] Malware Analysis and Antivirus Technologies - [EN] How to get started with Malware Analysis - [EN] Malwares analysis for neophytes - [EN] Practical malware analysis - [EN] Malware Analysis and Forensics tools links - [EN] Step-by-Step Reverse Engineering Malware: ZeroAccess - [EN] Malware Analysis Tutorial 1 - VM Based Analysis Platform
3.2. Quelques exemples danalyse

De nombreux articles de MISC prsentent des analyses trs intressantes. Pour ceux que le sujet intresse, voici quelques analyses de botnet/malwares trs intressantes : - [FR] Analyse du malware Podnuha - [FR] [XMCO] Autopsie et observations in vivo dun banker - [FR] [XMCO] Analyse de Stuxnet - [FR] [LEXSI] Analyse de Stuxnet - [EN] Insights from the Analysis of the Mariposa Botnet - [EN] Walowdac Analysis of a Peer-to-Peer Botnet - [EN] DarkComet Analysis - [EN] Carberp Analysis
Page 29
Analyse de malwares
[EN] Zeus malware Analysis [EN] BlackHole Ramnit Samples and analysis
3.3. Quelques codes-source de malwares

Consulter aussi quelques codes-source de malwares connus permet de voir comment ceuxci sont programms. Quelques codes sources connus, je les mets dans diffrents langages : - Code-source du virus IloveYou49 (VBS) - Code-source du virus CIH akka Tchernobyl50 (ASM) - Source du malware ZeuS51 (C source-code) - Source du malware Zemra (C# source code) - Botnet Source code Archive - [FR] Dveloppement dun cheval de troie
3.4. Les ezines consacrs aux malwares

Un ezine est un petit magazine lectronique. Il existe de nombreux ezines fait par des groupes de coders de malwares. La plupart sont dun assez haut niveau et trs intressants. En voici quelques uns : - [EN] Ezine 29A (trs bon groupe dex dveloppeurs de malwares) - [EN] Index of /library/vx-zines (base de donnes de ezines consacrs aux virus)
3.5. Quelques livres sur les malwares

Il existe de nombreux livres consacrs lanalyse des malwares. En voici quelques uns : - [FR] Du virus l'antivirus [guide d'analyse] de Mark A Ludwig (trs bon livre mais assez vieux)
[FR] Les virus informatiques : thorie, pratique et applications dEric Filiol (ncessite pas mal de comptences, difficile daccs)
49 50
http://fr.wikipedia.org/wiki/I_love_you_(ver_informatique) https://fr.wikipedia.org/wiki/Tchernobyl_%28virus%29 51 http://www.undernews.fr/malwares-virus-antivirus/le-code-source-du-trojan-bancaire-zeus-divulgue.html
Page 30
Analyse de malwares
[EN] The Art of Computer Virus Research and Defense de Peter Szor
[EN] Malware Analysts Cookbook and DVD de Michael Ligh (excellent, de nombreuses ressources)
[EN ]Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software de Michael Sikorski (conseill par un analyste de malwares)
Page 31
Analyse de malwares
[EN] Reversing: Secrets of Reverse Engineering de Eldad Eilam
3.6. Challenges danalyse de malwares

Si vous dsirez amliorer vos comptences en analyse de malwares, il existe aussi des challenges spcialement ddis cette tche : - [EN] [SANS] Malware Analysis Challenge to Strengthen Your Skills - [EN] Forensic Challenge 9 - "Mobile Malware" - [EN] The 2008 Malware Challenge - [EN] Challenge 6: Malware Analysis - [EN] Malware Analysis Challenge
Page 32
Analyse de malwares
4. Travailler dans lanalyse de malwares

Si vous dsirez travailler dans lanalyse de malwares, voici des exemples dannonces et de profils recherchs. Nous pouvons constater que de nombreuses boites de consulting en scurit informatique incluent lanalyse de malwares dans les prestations proposes. Inutile donc de forcment sexpatrier pour travailler dans ce domaine.
4.1. Exemples dannonces

Si vous dsirez devenir analyste de malwares, voici quelques ides dannonces pour le dveloppement ou lanalyse de malwares. (Certaines rfrences sont extraites du Forum Zenk Security)
4.1.1. Exemple dune offre pour un dvelopper de malwares (

Rfrence : Malwares senior Engineer
Figure 33 recherche pour un dveloppeur de malwares
4.1.2. Exemple doffre : Recherche dun analyste de malwares

Rfrence : Malware research Engineer Job
Figure 34 Recherche d'un analyste de malwares
Page 33
Analyse de malwares
4.1.3. Exemple de poste propos par une bote de conseil sur Paris
Figure 35 Offre d'une boite franaise pour un travail Singapour
Dautres exemples dannonces pour lanalyse de malwares sont disponibles ici : Malware Security
4.2. Profil recherch

Si vous dsirez travailler dans le domaine de la recherche de malwares, en gnral certaines comptences et certains diplmes spcifiques sont demands.
4.2.1. Diplmes
En gnral cest un master qui est demand pour la majorit des postes en scurit informatique (bac +5)
4.2.2. Comptences
Pour travailler dans lanalyse de malwares, les connaissances et comptences suivantes sont le minimum : Langages : Bonne connaissance en assembleur et en C - Comptences : Reverse engineering, analyse forensique (analyse dun systme suite un incident de scurit), recherche et analyse dexploits / vulnrabilits, bonnes connaissances de diffrents protocoles rseau - Outils : Dsassembleurs (IDA, Metasm), dbuggers
Page 34
Analyse de malwares
4.2.3. Exemples de comptences recherches lors dannonces
Figure 36 Exemples de profils recherchs pour l'analyse de malwares
4.3. Exemples darticles dentreprises franaises spcialises dans la scurit

tre capable de reverser un malware et de lanalyser sont des comptences trs recherches en scurit informatique. A titre dexemple, voil quelques exemples de blogs issus de boites de conseil en scurit (sur Paris).
4.3.1. XMCO
Ezine ActuScu
Figure 37 Ezine de XMCO
Page 35
Analyse de malwares
4.3.2. Lexsi
Article blog Sorry Mario, but
Figure 38 Extrait article blog de Lexsi
Dans les 2 cas, les comptences en analyse de malwares sont le lot de nombreux consultants en scurit informatique et sont trs recherches par les boites de consultants.
Page 36
Analyse de malwares
5. Traquer les malwares / les rseaux

Un autre aspect intressant dans lanalyse des malwares est linfiltration dans les rseaux cybercriminels. Attention, ne sachant jamais sur ce que lon va dcouvrir et les auteurs de malwares, prendre des prcautions pour conserver lanonymat.
Pour ceux qui souhaiteraient traquer les rseaux de malwares (botnets), quelques liens intressants : - [EN] Pwning a Spammer's Keylogger - [EN] Analysis & pownage of herpesnet botnet - [EN] How to inflitrate affiliate programs [XYLIBOX] - [EN] Botnet tracking : Tools, Techniques, and Lessons Learned - [EN] Tracking Cybercrime [Blog EN] - [EN] Know your enemy : Tracking Botnets - [EN] The Koobface malware gang - exposed! - [EN] Dtection et analyse de botnet grce des honeypots
5.1. Tracking des rseaux nigriens

Un exemple de traque avec les rseaux nigrians (diffusion de courriels vous disant que la personne va mourir et quelle veut vous transfrer son patrimoine en change de quelques deniers52). Un exemple de courriel que nous avons tous reu au moins une fois :
Figure 39 Exemple darnaque nigrienne
Concernant la traque de ce type de rseau, les articles suivants traitent de leur linf iltration : - [EN] Infiltration of a Nigerian scammer - [EN] Inside the nigerian money mule (Part 2, Part 3) En franais, nous avons une analyse intressante sur linf iltration de ces rseaux dans l ezine de XMCO : [FR] Scams et kits dexploitation.
52
http://fr.wikipedia.org/wiki/Fraude_4-1-9
Page 37
Analyse de malwares
Figure 40 Localisation des escrocs nigriens
5.2. Sinfiltrer dans les rseaux daffiliation

Concernant linfiltration dans les rseaux daffiliation, nous avons un trs bon tutorial fourni par Xylibox : [EN] How to infiltrate affiliate programs. Au programme, savoir o trouver des programmes daffiliations, quelques traductions anglais/russes, comment accder aux sites web dadministration des escrocs.
Figure 41 Dialogue avec un des cybercriminels
Figure 42 Tentative d'accs aux interfaces d'administration des sites des cybercriminels
Dautres articles sur la traque des rseaux des cybercriminels sont disponibles sur le blog de Xylibox.
Page 38
Analyse de malwares 5.3. Tracking de botnets

Il existe de nombreux articles consacrs la traque de botnets. En gnral la mthodologie utilise consiste rcuprer un chantillon de malware, le dcompiler afin de retrouver les adresses de C&C (centre de commandes des botnets), et dautres informations confidentielles. Quelques exemples de traque : - [EN] Inside a ZeuS botnet - [FR] Dtection et analyse de botnets grce des honeypots - [FR] Infiltration et analyse des botnets - [EN] How to steal a botnet and What can Happen When You do - [EN] Botnets Administration : A real case - ZeuS & SpyEye - [FR] MISC Analyse en profondeur de Waledac et de son rseau - [EN] Your Botnet is My Botnet: Analysis of a Botnet Takeover
Page 39
Analyse de malwares
6. Conclusion
Les malwares sont devenus une ralit pour la majorit des utilisateurs et bien peu dentre eux y chappent (en particulier sous les systmes Windows & Android). Connatre leur mode de fonctionnement ainsi que mthodes de propagation restent le meilleur moyen de sen protger. La protection contre les malwares se doit dtre globale et ne peut uniquement se contenter de solutions techniques. Concernant leur analyse, il est possible par lanalyse dynamique davoir en quelques minutes les principales caractristiques dun malware ainsi que ses fonctionnalits et ce, sans ncessiter de solides connaissances en assembleur. Ce nest malheureusement pas possible dans certains cas, o les malwares sont capables de dtecter les environnements virtuels ou surveills, et dans ces cas-l, seule une analyse par dsassemblage peut permettre dvaluer la menace. Outre le fait que le fait que lanalyse de malwares est un domaine, cest aussi une comptence de plus en plus recherche dans les botes de conseil informatique et les profils possdant ces comptences peuvent souvent prtendre de salaires plus quintressants. Dans un prochain document, nous verrons comment quels sont les moyens de lutte contre les malwares, comment sen protger et comment se dsinfecter le cas chant.
Page 40

Devenir Analyste de Malwares

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Devenir Analyste de Malwares

Uploaded by

Copyright:

Available Formats

http://lepouvoirclapratique.blogspot.

Cdric BERTRAND Juin 2012

Devenir analyste de malwares

1.2.1. 1.2.2. 1.2.3. 1.2.4. 1.2.5. 1.3. 1.3.1. 1.3.2. 2. 2.1.

Etudier les malwares en toute scurit .................................................................... 9

Lanalyse dynamique ou lanalyse comportementale ..............................................17

2.4.1. 2.4.2. 2.4.3. 3. 3.1.

Travailler dans lanalyse de malwares ...........................................................................33 4.1. 4.1.1. 4.1.2.

Exemples darticles dentreprises franaises spcialises dans la scurit ............35

Table des illustrations

1. Ltude des malwares

1.1. Pourquoi analyser les malwares ?

1.2. O trouver des malwares ?

1.2.1. Les forums / sites dchange / blogs danalyse

1.2.2. Les honeypots

Figure 1 Ghost USB Malware

Figure 2 Malware Domain List

1.2.4. Par courriel

Figure 3 Exemple de malwares reu par pice jointe

1.2.5. Navigation sur Internet

Analyse de malwares 1.3. Etudier les malwares en toute scurit

1.3.1. Crer son laboratoire danalyse de malwares

Figure 4 Exemple d'architecture d'un laboratoire d'analyse de malwares

1.3.1.2. Deep freeze

Figure 5 Interface de DeepFreeze

1.3.2. Les distributions ddies lanalyse de malware

Figure 6 Remnux, distribution pour l'analyse de malwares

Figure 7 Distribution ZeroWine pour l'analyse de malwares

2. Les mthodologies danalyse

2.1. Lanalyse statique ou dsassemblage

Figure 8 Exemple danalyse par dsassemblage

2.1.2. Les outils

Figure 9 Interface d'IDA

2.1.2.2. Les debuggers

Figure 10 Interface d'Immunity Debugger

Figure 11 Analyse d'un fichier suspect avec Malware Analyser

Figure 12 Analyse d'un fichier excutable avec PE Explorer

Figure 13 Peframe, outil d'aide l'analyse d'excutables

Figure 14 Exemple d'utilisation de Hook Analyser Malware Tool

Figure 15 Radare, framework de reverse-engineering

2.1.3. Quelques exemples danalyses statiques

2.2. Lanalyse dynamique ou lanalyse comportementale

Figure 16 Exemple d'analyse dynamique

http://isyou.hosting.paran.com/papers/bwcca10-2.pdf http://blog.fireeye.com/research/2011/01/the-dead-giveaways-of-vm-aware-malware.html 26 http://fr.wikipedia.org/wiki/R%C3%A9troing%C3%A9nierie

2.2.1. Les outils danalyses comportementales en ligne

Figure 17 Exemples d'analyses comportementales

2.2.2. Les outils danalyses dynamiques en local

http://anubis.iseclab.org/ http://mwanalysis.org/ 29 http://www.joesecurity.org/ 30 http://www.threatexpert.com/ 31 http://netscty.com/Services/Sandbox

2.2.2.1. Cuckoo Sandbox

Figure 18 Analyse automatise avec Cuckoo Sandbox

Figure 19 Interface de Fiddler

Figure 20 Interface de Wireshark

Figure 21 Process explorer permet d'afficher les processus en profondeur

Figure 22 Surveiller l'accs aux fichiers et au registre avec Process Monitor

Figure 23 Exemples de comportements suspects dtects par un HIPS

2.2.3. Exemples danalyses dynamiques

Analyse de malwares 2.3. Lanalyse de malwares avec Volatility

Figure 24 Dtection d'un processus cach avec Volatility

Figure 25 Dtection des api hookes avec Volatility

Figure 26 Dtection des connexions tablies avec Volatility

Analyse de malwares 2.4. Analyses diverses

Figure 27 Analyse d'une URL suspecte

Figure 28 Interface de Malzilla

http://wepawet.iseclab.org/ http://anubis.iseclab.org/ 37 http://urlquery.net/ 38 http://jsunpack.jeek.org/ 39 http://www.melani.admin.ch/dienstleistungen/archiv/01126/index.html?lang=fr