Malwares Identification, analyse et éradication

Transcription

1 Identification d'un malware 1. Présentation des malwares par familles Introduction Backdoor Ransomware Voleur Rootkit Scénario d'infection Introduction Scénario 1 : l'exécution d'une pièce jointe Scénario 2 : le clic malencontreux Scénario 3 : l'ouverture d'un document infecté Scénario 4 : les attaques informatiques Techniques de communication avec le C&C Introduction Mise à jour de la liste des noms de domaine Fast flux DGA (Domain Generation Algorithms) Collecte d'informations Introduction Collecte et analyse de la base de registre Collecte et analyse des journaux d'événements Collecte et analyse des fichiers exécutés au démarrage Collecte et analyse du système de fichiers Framework d'investigation inforensique Image mémoire Présentation Réalisation d'une image mémoire Analyse d'une image mémoire 33 1/7

2 5.4 Analyse de l'image mémoire d'un processus Fonctionnalités des malwares Techniques pour rester persistant Techniques pour se cacher Conclusion 47 Analyse de base 1. Création d'un laboratoire d'analyse Introduction VirtualBox Information sur un fichier Format d'un fichier Chaînes de caractères présentes dans un fichier Analyse dans le cas d'un fichier PDF Introduction Extraire le code JavaScript Désobfusquer du code JavaScript Conclusion Analyse dans le cas d'un fichier JAR Introduction Récupération du code source depuis les classes Analyse dans le cas d'un binaire Analyse de binaires développés AutoIt Analyse de binaires développés avec le framework.net Analyse de binaires développés en C ou C /7

3 6. Le format PE Introduction Schéma du format PE Outil pour analyser un PE API d'analyse d un PE Suivre l'exécution d'un binaire Introduction Activité au niveau de la base de registre Activité au niveau du système de fichiers Activité réseau Utilisation de Cuckoo Sandbox Introduction Configuration Utilisation Conclusion Ressources sur Internet concernant les malwares Introduction Sites permettant des analyses en ligne Sites présentant des analyses techniques Sites permettant de télécharger des samples de malwares 124 Reverse engineering 1. Introduction Présentation Législation Assembleur x Registres 129 3/7

4 2.2 Instructions et opérations Gestion de la mémoire par la pile Gestion de la mémoire par le tas Optimisation du compilateur Analyse statique Présentation IDA Pro Présentation Navigation Renommages et commentaires Script Plug-ins Techniques d'analyse Commencer une analyse Sauts conditionnels Boucles API Windows Introduction API d'accès aux fichiers API d'accès à la base de registre API de communication réseau API de gestion des services Exemples de l'utilisation de l'api Conclusion Limites de l'analyse statique Analyse dynamique Présentation OllyDbg Présentation Contrôle du flux d'exécution Points d'arrêt Visualisation des valeurs en mémoire Copie de la mémoire 199 4/7

5 4.2.6 Conclusion Malwasm Présentation Installation Utilisation Limites de l'analyse dynamique 211 Techniques d'obfuscation 1. Introduction Obfuscation des chaînes de caractères Introduction Cas de l'utilisation de ROT Cas de l'utilisation de la fonction XOR avec une clé statique Cas de l'utilisation de la fonction XOR avec une clé dynamique Cas de l'utilisation de fonctions cryptographiques Cas de l'utilisation de fonctions personnalisées Obfuscation de l'utilisation de l'api Windows Introduction Étude du cas duqu Packers Introduction Packers utilisant la pile Packers utilisant le tas Encodeur metasploit Autres techniques Anti-VM Anti-reverse engineering et anti-debug 278 5/7

6 6. Conclusion 281 Détection, confinement et éradication 1. Indicateurs de compromission Indicateurs de compromission réseau Présentation Utilisation des proxys Utilisation des détecteurs d'intrusions Cas complexes Détection de fichiers Présentation Empreintes (ou Hash) Signatures avec Yara Signatures avec ssdeep Détection et éradication de malwares avec clamav Présentation Installation Utilisation Utilisation d'openioc Présentation Utilisation Interface graphique d'édition Détection Conclusion 325 6/7

7 Index 327 7/7