Malwares Identification, analyse et éradication



Documents pareils
Table des matières. Avant-propos... Préface... XIII. Remerciements...

Introduction aux antivirus et présentation de ClamAV

Les rootkits navigateurs

Etat de l art des malwares

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Désinfection de Downadup

JAB, une backdoor pour réseau Win32 inconnu

SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT. SECURIDAY 2012 Pro Edition [Investigation :Digital Forensics]

NETTOYER ET SECURISER SON PC

SSTIC Désobfuscation automatique de binaires. Alexandre Gazet. Yoann Guillot. Et autres idyles bucoliques...

PHP 5.4 Développez un site web dynamique et interactif

Laboratoire de Haute Sécurité. Télescope réseau et sécurité des réseaux

ISEC. Codes malveillants

Présentation commonit pour la réunion de l OSSIR du 10 Mars 2009 : - La société commonit - Le marché - La solution Virtual Browser - Démonstration

Manuel de l'utilisateur d'intego VirusBarrier Express et VirusBarrier Plus

Catalogue des formations 2014 #CYBERSECURITY

FileMaker Server 13. Publication Web personnalisée avec PHP

SRS Day. Vue d ensemble. Avérous Julien-Pierre

Bitdefender Endpoint Security Tools

Optimiser les performances d un site web. Nicolas Chevallier Camille Roux

FileMaker Server 13. Publication Web personnalisée avec XML

GUIDE DE L UTILISATEUR Recoveo Récupérateur de données

Mobilité, quand tout ordinateur peut devenir cheval de Troie

ASP.NET MVC 4 Développement d'applications Web en C# - Concepts et bonnes pratiques

Nouveautés par rapport à la version Qlik Sense 1.0. Qlik Sense Copyright QlikTech International AB. Tous droits réservés.

Module 8. Protection des postes de travail Windows 7

Windows Azure Platform Développez, déployez et administrez pour le Cloud Microsoft

Acquisition des données

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Diagnostic adaptatif d'un flux d'alarmes par méta diagnostic distribué Application à la détection d'intrusions dans un serveur Web

PROCEDURE D INSTALLATION et de CONFIGURATION DU SERVICE PACK2 POUR WINDOWS XP

PLAteforme d Observation de l InterNet (PLATON)

ARTICA PROJECT Vous souhaitez mettre en place simplement un serveur sécurisé: De messagerie.

INITIATION AU LANGAGE C SUR PIC DE MICROSHIP

ERESI : une plate-forme d'analyse binaire au niveau noyau. The ERESI team

Task Server 6.0 Aide

Wildix Web API. Guide Rapide

Guide pour sécuriser votre PC avec Kiosk Internet et Windows Seven

SECURIDAY 2012 Pro Edition

JOnAS Day 5.1. Outils de développements

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

les fakes logiciels et rogue AV

Formation en Sécurité Informatique

Environnements de développement (intégrés)

TAGREROUT Seyf Allah TMRIM

Bitdefender Endpoint Security Tools

Support Google Analytics - 1 / 22 -

Extraction de données authentifiantes de la mémoire Windows

Sessions en ligne - QuestionPoint

Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3)

ZOTERO. Installation. Bibliothèque de Pharmacie. Service Formation

panda BusinesSecure antivirus Solution de sécurité antivirus idéale pour les petites et moyennes entreprises

Armand PY-PATINEC 2010

Sophos Computer Security Scan Guide de démarrage

Managed VirusScan et renforce ses services

//////////////////////////////////////////////////////////////////// Administration bases de données

Nécessité de concevoir un outil de recherche PDF Présentation des fonctionnalités d'indexation et de recherche... 3

Institut Supérieure Aux Etudes Technologiques De Nabeul. Département Informatique

Développement d'applications Web HTML5 L'art et la manière avec Visual Studio 2015 et TFS

Tune Sweeper Manuel de l'utilisateur

Auteur LARDOUX Guillaume Contact Année 2014 DEVELOPPEMENT MOBILE AVEC CORDOVA

Iphone vs. Android. Mardi 17 Novembre 2009 Paris, la Défense. Xavier PARADON, Directeur Technique Valtech Training

ORACLE TUNING PACK 11G

SAP BusinessObjects Web Intelligence (WebI) BI 4

Alfresco et TYPO3 Présenté par Yannick Pavard dans le cadre des rencontres WebEducation Février 2008

MEGA Web Front-End Installation Guide MEGA HOPEX V1R1 FR. Révisé le : 5 novembre 2013 Créé le : 31 octobre Auteur : Noé LAVALLEE

CRÉER, ROUTER ET GÉRER UNE NEWSLETTER, UN ING

Catalogue Formation «Vanilla»

Sécurité Informatique : Metasploit

Machines Virtuelles. et bazard autour. Rémi Forax

Activités professionnelle N 2

WordPress, thèmes et plugins : mode d'emploi

TP 7, 8 & 9 : Installation et Gestion de GLPI et Télédéploiement SISR 1 HUBERT JULIEN LABBE RICHARD DAY MICKAEL DOGNY CHRISTOPHE

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

FileMaker Server 11. Publication Web personnalisée avec XML et XSLT

Un serveur d'archivage

Projet de développement

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Avira Professional Security Migrer vers Avira Professional Security version HowTo

Club des Responsables d Infrastructures et de la Production

«Le malware en 2005 Unix, Linux et autres plates-formes»

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Seance 2: En respectant la méthode de programmation par contrat, implémentez les autres fonctions de jeu.

SIEBEL CRM ON DEMAND MARKETING

Les avantages de la virtualisation sont multiples. On peut citer:

Mode d emploi Accès & consultation des certificats d étalonnage MES PV EN LIGNE

À propos du Guide de l'utilisateur final de VMware Workspace Portal

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

MANUEL D INSTALLATION D UN PROXY

Guide de l'administrateur Citrix Personal vdisk 5.6.5

Boîte à outils OfficeScan

Sécurité des applications Retour d'expérience

Présentation - Tableau de bord du CA Carrefour informationnel et documentaire des Laurentides

Date de diffusion : Rédigé par : Version : Mars 2008 APEM 1.4. Sig-Artisanat : Guide de l'utilisateur 2 / 24

Un duo de choc : DocuWare et Microsoft Outlook

Iobit Malware Fighter

CARPE. Documentation Informatique S E T R A. Version Août CARPE (Documentation Informatique) 1

Nicolas Hanteville. for(e=n;s<i;c++){attitude();} Sur environnement Microsoft Windows

Transcription:

Identification d'un malware 1. Présentation des malwares par familles 7 1.1 Introduction 7 1.2 Backdoor 8 1.3 Ransomware 9 1.4 Voleur 10 1.5 Rootkit 10 2. Scénario d'infection 12 2.1 Introduction 12 2.2 Scénario 1 : l'exécution d'une pièce jointe 12 2.3 Scénario 2 : le clic malencontreux 13 2.4 Scénario 3 : l'ouverture d'un document infecté 13 2.5 Scénario 4 : les attaques informatiques 14 3. Techniques de communication avec le C&C 14 3.1 Introduction 14 3.2 Mise à jour de la liste des noms de domaine 15 3.3 Fast flux 15 3.4 DGA (Domain Generation Algorithms) 16 4. Collecte d'informations 16 4.1 Introduction 16 4.2 Collecte et analyse de la base de registre 17 4.3 Collecte et analyse des journaux d'événements 19 4.4 Collecte et analyse des fichiers exécutés au démarrage 20 4.5 Collecte et analyse du système de fichiers 21 4.6 Framework d'investigation inforensique 27 5. Image mémoire 29 5.1 Présentation 29 5.2 Réalisation d'une image mémoire 30 5.3 Analyse d'une image mémoire 33 1/7

5.4 Analyse de l'image mémoire d'un processus 40 6. Fonctionnalités des malwares 41 6.1 Techniques pour rester persistant 41 6.2 Techniques pour se cacher 43 7. Conclusion 47 Analyse de base 1. Création d'un laboratoire d'analyse 49 1.1 Introduction 49 1.2 VirtualBox 50 2. Information sur un fichier 56 2.1 Format d'un fichier 56 2.2 Chaînes de caractères présentes dans un fichier 57 3. Analyse dans le cas d'un fichier PDF 59 3.1 Introduction 59 3.2 Extraire le code JavaScript 59 3.3 Désobfusquer du code JavaScript 64 3.4 Conclusion 68 4. Analyse dans le cas d'un fichier JAR 68 4.1 Introduction 68 4.2 Récupération du code source depuis les classes 70 5. Analyse dans le cas d'un binaire 71 5.1 Analyse de binaires développés AutoIt 71 5.2 Analyse de binaires développés avec le framework.net 73 5.3 Analyse de binaires développés en C ou C++ 74 2/7

6. Le format PE 74 6.1 Introduction 74 6.2 Schéma du format PE 75 6.3 Outil pour analyser un PE 83 6.4 API d'analyse d un PE 85 7. Suivre l'exécution d'un binaire 89 7.1 Introduction 89 7.2 Activité au niveau de la base de registre 89 7.3 Activité au niveau du système de fichiers 92 7.4 Activité réseau 92 8. Utilisation de Cuckoo Sandbox 102 8.1 Introduction 102 8.2 Configuration 102 8.3 Utilisation 108 8.4 Conclusion 117 9. Ressources sur Internet concernant les malwares 118 9.1 Introduction 118 9.2 Sites permettant des analyses en ligne 118 9.3 Sites présentant des analyses techniques 121 9.4 Sites permettant de télécharger des samples de malwares 124 Reverse engineering 1. Introduction 127 1.1 Présentation 127 1.2 Législation 128 2. Assembleur x86 129 2.1 Registres 129 3/7

2.2 Instructions et opérations 134 2.3 Gestion de la mémoire par la pile 141 2.4 Gestion de la mémoire par le tas 143 2.5 Optimisation du compilateur 144 3. Analyse statique 145 3.1 Présentation 145 3.2 IDA Pro 146 3.2.1 Présentation 146 3.2.2 Navigation 149 3.2.3 Renommages et commentaires 152 3.2.4 Script 153 3.2.5 Plug-ins 154 3.3 Techniques d'analyse 157 3.3.1 Commencer une analyse 157 3.3.2 Sauts conditionnels 159 3.3.3 Boucles 160 3.4 API Windows 161 3.4.1 Introduction 161 3.4.2 API d'accès aux fichiers 162 3.4.3 API d'accès à la base de registre 165 3.4.4 API de communication réseau 171 3.4.5 API de gestion des services 175 3.4.6 Exemples de l'utilisation de l'api 178 3.4.7 Conclusion 186 3.5 Limites de l'analyse statique 186 4. Analyse dynamique 186 4.1 Présentation 186 4.2 OllyDbg 187 4.2.1 Présentation 187 4.2.2 Contrôle du flux d'exécution 192 4.2.3 Points d'arrêt 195 4.2.4 Visualisation des valeurs en mémoire 198 4.2.5 Copie de la mémoire 199 4/7

4.2.6 Conclusion 200 4.3 Malwasm 200 4.3.1 Présentation 200 4.3.2 Installation 201 4.3.3 Utilisation 204 4.4 Limites de l'analyse dynamique 211 Techniques d'obfuscation 1. Introduction 213 2. Obfuscation des chaînes de caractères 215 2.1 Introduction 215 2.2 Cas de l'utilisation de ROT13 215 2.3 Cas de l'utilisation de la fonction XOR avec une clé statique 219 2.4 Cas de l'utilisation de la fonction XOR avec une clé dynamique 225 2.5 Cas de l'utilisation de fonctions cryptographiques 227 2.6 Cas de l'utilisation de fonctions personnalisées 234 3. Obfuscation de l'utilisation de l'api Windows 243 3.1 Introduction 243 3.2 Étude du cas duqu 244 4. Packers 249 4.1 Introduction 249 4.2 Packers utilisant la pile 250 4.3 Packers utilisant le tas 266 4.4 Encodeur metasploit 275 5. Autres techniques 277 5.1 Anti-VM 277 5.2 Anti-reverse engineering et anti-debug 278 5/7

6. Conclusion 281 Détection, confinement et éradication 1. Indicateurs de compromission 283 2. Indicateurs de compromission réseau 284 2.1 Présentation 284 2.2 Utilisation des proxys 285 2.3 Utilisation des détecteurs d'intrusions 288 2.4 Cas complexes 290 3. Détection de fichiers 291 3.1 Présentation 291 3.2 Empreintes (ou Hash) 292 3.3 Signatures avec Yara 294 3.4 Signatures avec ssdeep 301 4. Détection et éradication de malwares avec clamav 303 4.1 Présentation 303 4.2 Installation 303 4.3 Utilisation 306 5. Utilisation d'openioc 313 5.1 Présentation 313 5.2 Utilisation 314 5.3 Interface graphique d'édition 316 5.4 Détection 320 6. Conclusion 325 6/7

Index 327 7/7

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back