Incident Response & Malware Analysis

Transcription

1 Incident Response & Malware Analysis Guillaume Dedrie / Fernand Lone-Sang / Alexandre Quint Journée Sécurité - INSA Toulouse - LAAS CNRS 22/01/2015

2 whoami Alexandre Quint Ingénieur sécurité carte chez Gemalto ( ) Attaques en consommation de courant Implémentations de contre-mesures Ingénieur développement / sécurité au Ministère de la Défense ( ) et Ingénieur R&D chez Stormshield ( ) Développement du module noyau IPS Ingénieur R&D chez Quarkslab (2013-aujourd hui) Responsable projet IRMA

3 Plan 1. Introduction 2. Fonctionnement 3. Casse tête de l installation 4. Possibilités existantes et à venir 5. Conclusion

4 Plan 1. Introduction 2. Fonctionnement 3. Casse tête de l installation 4. Possibilités existantes et à venir 5. Conclusion

5 Introduction Problématique: est-ce que mon fichier BestCatScreensaverEver.exe est sain? Solution 1 : le scanner avec l antivirus local.

6 Introduction Problématique: est-ce que mon fichier BestCatScreensaverEver.exe est sain? Solution 1 : le scanner avec l antivirus local. + facile a faire

7 Introduction Problématique: est-ce que mon fichier BestCatScreensaverEver.exe est sain? Solution 1 : le scanner avec l antivirus local. + facile a faire + rapide (enfin souvent)

8 Introduction Problématique: est-ce que mon fichier BestCatScreensaverEver.exe est sain? Solution 1 : le scanner avec l antivirus local. + facile a faire + rapide (enfin souvent) - on se repose entièrement sur un éditeur

9 Introduction Problématique: est-ce que mon fichier BestCatScreensaverEver.exe est sain? Solution 1 : le scanner avec l antivirus local. + facile a faire + rapide (enfin souvent) - on se repose entièrement sur un éditeur C est Bien Mais Pas Suffisant

10 Introduction Problématique: est-ce que mon fichier BestCatScreensaverEver.exe est sain? Solution 2 : le faire scanner par un site web

11 Introduction Problématique: est-ce que mon fichier BestCatScreensaverEver.exe est sain? Solution 2 : le faire scanner par un site web + nombreux sites disponibles gratuitement : virustotal.com avcaesar.malware.lu metascan.com

12 Introduction Problématique: est-ce que mon fichier BestCatScreensaverEver.exe est sain? Solution 2 : le faire scanner par un site web + nombreux sites disponibles gratuitement : virustotal.com avcaesar.malware.lu metascan.com + nombreux AV supportés

13 Introduction Problématique: est-ce que mon fichier BestCatScreensaverEver.exe est sain? Solution 2 : le faire scanner par un site web + nombreux sites disponibles gratuitement : virustotal.com avcaesar.malware.lu metascan.com + nombreux AV supportés - un fichier à la fois

14 Introduction Problématique: est-ce que mon fichier BestCatScreensaverEver.exe est sain? Solution 2 : le faire scanner par un site web + nombreux sites disponibles gratuitement : virustotal.com avcaesar.malware.lu metascan.com + nombreux AV supportés - un fichier à la fois - on envoie le fichier sur Internet

15 Introduction Problématique: est-ce que mon fichier BestCatScreensaverEver.exe est sain? Solution 2 : le faire scanner par un site web + nombreux sites disponibles gratuitement : virustotal.com avcaesar.malware.lu metascan.com + nombreux AV supportés - un fichier à la fois - on envoie le fichier sur Internet - on ne connait aucunes des options utilisées

16 Introduction Problématique: est-ce que mon fichier BestCatScreensaverEver.exe est sain? Solution 2 : le faire scanner par un site web + nombreux sites disponibles gratuitement : virustotal.com avcaesar.malware.lu metascan.com + nombreux AV supportés - un fichier à la fois - on envoie le fichier sur Internet - on ne connait aucunes des options utilisées C est Bien Mais Pas Suffisant

17 Introduction Problématique: est-ce que mon fichier BestCatScreensaverEver.exe est sain? Solution 3 : Cliquer dessus #YOLO

18 Introduction Problématique: est-ce que mon fichier BestCatScreensaverEver.exe est sain? Solution 3 : Cliquer dessus #YOLO + c est l occasion de tester ses procédures de backup/restore

19 Introduction Problématique: est-ce que mon fichier BestCatScreensaverEver.exe est sain? Solution 3 : Cliquer dessus #YOLO + c est l occasion de tester ses procédures de backup/restore No comment

20 Introduction Incident Response & Malware Analysis Plate-forme privée d analyse de fichiers Open-source (code hébergé sur github) Personnalisable

21 Sponsors

22 Modules d analyses GDATA KASPERSKY MCAFEE SOPHOS SYMANTEC ANTIVIRUS Windows CLAMAV COMODO ESET FPROT MCAFEE ANTIVIRUS Linux VIRUSTOTAL EXTERNAL NSRL DATABASE YARA ANALYSE STATIQUE PE METADATA

23 Plan 1. Introduction 2. Fonctionnement 3. Casse tête de l installation 4. Possibilités existantes et à venir 5. Conclusion

24 Architecture globale

25 Technos utilisées

26 Workflow d un scan

27 Workflow d un scan

28 Workflow d un scan

29 Workflow d un scan

30 Workflow d un scan

31 Workflow d un scan

32 Workflow d un scan

33 Workflow d un scan

34 Workflow d un scan

35 Workflow d un scan

36 Workflow d un scan

37 Workflow d un scan

38 Workflow d un scan

39 Démo

40 Plan 1. Introduction 2. Fonctionnement 3. Casse tête de l installation 4. Possibilités existantes et à venir 5. Conclusion

41 Installation Avoir un projet open-source c est bien. Avoir des utilisateurs c est mieux. Avoir des contributeurs c est encore mieux.

42 Installation v1.0

43 Installation v1.0.4

44 Installation v1.1.0

45 Installation > v1.1.0 Install Vagrant: Install Ansible: $ sudo pip install ansible Install IRMA: $ git clone $ cd irma-ansible $ ansible-galaxy install -r ansible-requirements.yml $ vagrant up

46 Plan 1. Introduction 2. Fonctionnement 3. Casse tête de l installation 4. Possibilités existantes et à venir 5. Conclusion

47 Ajout d analyses Chaque module d analyse est un plugin. Découpé en deux parties : - une partie d interfaçage propre à IRMA. - une partie indépendante d IRMA, réutilisable, qui fait le traitement sur le fichier. Découvert dynamiquement au démarrage de la probe.

48 Personnalisation des résultats Chaque type de résultat d analyse peut être filtré indépendamment. Plugins découverts dynamiquement au démarrage du frontend. Permet de garder des résultats uniformes bruts en base.

49 A venir Plus de probes (avs, sandbox ) Recherches et statistiques sur la base (Elasticsearch) Génération automatique des probes Déploiement automatique des probes mises à jour

50 A venir Plus de probes (avs, sandbox ) Recherches et statistiques sur la base (Elasticsearch) Génération automatique des probes Déploiement automatique des probes mises à jour Exemple de Comodo passé de plus mauvais taux de détection à meilleur taux de détection sur un set de malwares publics.

51 Shameless plug Malware Analysis Moteur Multi-Analyses Interface Web Aide au déploiement (provisioning) Recherches simples Probes customs Statistiques simples

52 Shameless plug Malware Analysis Moteur Multi-Analyses Interface Web Aide au déploiement (provisioning) Recherches simples Probes customs Statistiques simples Base virus/fichiers sains connus Vue analyste (recherche avancée, partage de sample, tags, scans récurrents) Déploiement avancé (support des probes windows) Outils monitoring Incident Response Agents de collecte desktop multios Agent de collecte proxy mail Dashboard analyste (stats, alertes/rapports automatisés) Détection/suivi de fichiers dans le SI Dashboard d administration (agents/analystes/malware analysis)

53 Plan 1. Introduction 2. Fonctionnement 3. Casse tête de l installation 4. Possibilités existantes et à venir 5. Conclusion

54 Framework d analyse de fichiers Framework privé et extensible d analyse de fichiers. Construire une communauté d utilisateurs et contributeurs. Implique installation, déploiement et personnalisation facile: 2 contributeurs depuis l install via vagrant/ansible

55 A vous de tester/contribuer

56 Contact - contact@quarkslab.com

57 Questions

58