Sécurité informatique et Malwares Analyse des menaces et mise en oeuvre des contre-mesures (2e édition)

Transcription

1 Identification d'un malware 1. Présentation des malwares par familles Introduction Backdoor Ransomware et locker Stealer Rootkit Scénario d'infection Introduction Scénario 1 : l'exécution d'une pièce jointe Scénario 2 : le clic malencontreux Scénario 3 : l'ouverture d'un document infecté Scénario 4 : les attaques informatiques Scénario 5 : les attaques physiques : infection par clé USB Techniques de communication avec le C&C Introduction Mise à jour de la liste des noms de domaine Communication via HTTP/HTTPS/FTP/IRC Communication via Communication via un réseau point à point Communication via des protocoles propriétaires Communication passive Fast flux et DGA (Domain Generation Algorithms) Collecte d'informations Introduction Collecte et analyse de la base de registre Collecte et analyse des journaux d'événements Collecte et analyse des fichiers exécutés au démarrage Collecte et analyse du système de fichiers Gestion des fichiers bloqués par le système d'exploitation 32 1/8

2 4.7 Framework d'investigation inforensique Outil FastIR Collector Image mémoire Présentation Réalisation d'une image mémoire Analyse d'une image mémoire Analyse de l'image mémoire d'un processus Fonctionnalités des malwares Techniques pour rester persistant Techniques pour se cacher Malware sans fichier Contournement de l'uac Mode opératoire en cas d'attaques ciblées persistantes (APT) Introduction Phase 1 : reconnaissance Phase 2 : intrusion Phase 3 : persistance Phase 4 : pivot Phase 5 : exfiltration Traces laissées par l'attaquant Conclusion 61 Analyse de base 1. Création d'un laboratoire d'analyse Introduction VirtualBox L'outil de gestion d'échantillons de malware Viper 70 2/8

3 2. Informations sur un fichier Format d'un fichier Chaînes de caractères présentes dans un fichier Analyse dans le cas d'un fichier PDF Introduction Extraire le code JavaScript Désobfusquer du code JavaScript Conclusion Analyse dans le cas d'un fichier Adobe Flash Introduction Extraire et analyser le code ActionScript Analyse dans le cas d'un fichier JAR Introduction Récupération du code source depuis les classes Analyse dans le cas d'un fichier Microsoft Office Introduction Outils permettant l'analyse de fichiers Office Cas de malware utilisant des macros : Dridex Cas de malware utilisant une vulnérabilité Utilisation de PowerShell Analyse dans le cas d'un binaire Analyse de binaires développés en AutoIt Analyse de binaires développés avec le framework.net Analyse de binaires développés en C ou C Le format PE Introduction 101 3/8

4 9.2 Schéma du format PE Outils pour analyser un PE API d'analyse d un PE Suivre l'exécution d'un binaire Introduction Activité au niveau de la base de registre Activité au niveau du système de fichiers Activité réseau Activité réseau de type HTTP(S) Utilisation de Cuckoo Sandbox Introduction Configuration Utilisation Limitations Conclusion Ressources sur Internet concernant les malwares Introduction Sites permettant des analyses en ligne Sites présentant des analyses techniques Sites permettant de télécharger des samples de malwares 153 Reverse engineering 1. Introduction Présentation Législation Assembleur x Registres Instructions et opérations 162 4/8

5 2.3 Gestion de la mémoire par la pile Gestion de la mémoire par le tas Optimisation du compilateur Assembleur x Registres Paramètres des fonctions Analyse statique Présentation IDA Pro Présentation Navigation Renommages et commentaires Script Plug-ins Radare Présentation Ligne de commande Interfaces graphiques non officielles Techniques d'analyse Commencer une analyse Sauts conditionnels Boucles API Windows Introduction API d'accès aux fichiers API d'accès à la base de registre API de communication réseau API de gestion des services API des objets COM Exemples de l'utilisation de l'api Conclusion Limites de l'analyse statique 220 5/8

6 5. Analyse dynamique Présentation Immunity Debugger Présentation Contrôle de flux d'exécution Analyse d'une librairie Points d'arrêt Visualisation des valeurs en mémoire Copie de la mémoire Support du langage Python Conclusion WinDbg Présentation Interface Commandes de base Plug-in Conclusion Analyse noyau Windows Présentation Mise en place de l'environnement Protections kernel Windows Conclusion Limites de l'analyse dynamique et conclusion 246 Techniques d'obfuscation 1. Introduction Obfuscation des chaînes de caractères Introduction Cas de l'utilisation de ROT Cas de l'utilisation de la fonction XOR avec une clé statique Cas de l'utilisation de la fonction XOR avec une clé dynamique 258 6/8

7 2.5 Cas de l'utilisation de fonctions cryptographiques Cas de l'utilisation de fonctions personnalisées Outils permettant de décoder les chaînes de caractères Obfuscation de l'utilisation de l'api Windows Introduction Étude du cas Duqu Étude du cas EvilBunny Packers Introduction Packers utilisant la pile Packers utilisant le tas Encodeur Metasploit Autres techniques Anti-VM Anti-reverse engineering et anti-debug Conclusion 316 Détection, confinement et éradication 1. Introduction Indicateurs de compromission réseau Présentation Utilisation des proxys Utilisation des détecteurs d'intrusions Cas complexes Détection de fichiers Présentation 325 7/8

8 3.2 Empreintes (ou Hash) Signatures avec YARA Signatures avec ssdeep Détection et éradication de malwares avec ClamAV Présentation Installation Utilisation Artefacts système Types d'artefacts Outils Utilisation d'openioc Présentation Utilisation Interface graphique d'édition Détection Conclusion 361 Index 363 8/8