Introduction à l analyse de Malwares. Mickaël OHLEN IR3

Documents pareils
Dynamic Malware Analysis for dummies

But de cette présentation. Bac à sable (Sandbox) Principes. Principes. Hainaut P

Introduction aux antivirus et présentation de ClamAV

Chapitre 2 : Abstraction et Virtualisation

EN Télécom & Réseau S Utiliser VMWARE

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

Les rootkits navigateurs

EN Télécom & Réseau S Utiliser VMWARE

Table des matières. Avant-propos... Préface... XIII. Remerciements...

Désinfecte les réseaux lorsqu ils s embrasent

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC)

Etat de l art des malwares

Mise en place des TPs Réseau en machines virtuelles. Utilisation de VmPlayer

PROGRAMME DETAILLE. Parcours en première année en apprentissage. Travail personnel CC + ET réseaux

JAB, une backdoor pour réseau Win32 inconnu

Machines virtuelles Cours 1 : Introduction

ISEC. Codes malveillants

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Laboratoire de Haute Sécurité. Télescope réseau et sécurité des réseaux

TP01: Installation de Windows Server 2012

Concept de machine virtuelle

Création d une connexion VPN dans Windows XP pour accéder au réseau local de l UQO. Document préparé par le Service des technologies de l information

Étude des Spywares. Étudiant : Professeur responsable : En collaboration avec : DE SOUSA Bruno LITZISTORF Gérald TRUPHEME Florent Telecom System 2005

Projet Sécurité des SI

GenDbg : un débogueur générique. Didier Eymery Jean-Marie Borello Jean-Marie Fraygefond Odile Eymery Philippe Bion

SSTIC Désobfuscation automatique de binaires. Alexandre Gazet. Yoann Guillot. Et autres idyles bucoliques...

1. En moyenne, un ordinateur sans protection connecté à Internet est infecté après... quelques minutes heures 3 jours plus d une semaine

Chapitre 1 Le routage statique

Bilan 2008 du Cert-IST sur les failles et attaques

Informatique en nuage Cloud Computing. G. Urvoy-Keller

PLAteforme d Observation de l InterNet (PLATON)

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

FORMATION Offre de Formation - Packaging. Les bonnes pratiques du packaging avec Installshield et AdminStudio. Contact et inscriptions

Machine virtuelle W4M- Galaxy : Guide d'installation

Systèmes d exploitation

«Le malware en 2005 Unix, Linux et autres plates-formes»

TP Déploiement de réseaux IP sous Linux et MS Windows sur une infrastructure virtualisée

Chapitre 1 Windows Server

1. Présentation du TP

Désinfection de Downadup

CREER UNE VM DANS WORKSATION. Créer un Virtual Machine dans VMware Workstation 9

Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3)

Documentation Utilisateur/Développeur. Client de Monitoring CamTrace

Manuel d administration de Virtual Box MANUEL D UTILISATION VIRTUAL BOX

Notes de mise à jour Fiery Print Controller AR-PE3, version 1.01 pour AR-C330

Séquencer une application

S Catalogue des Formations Sécurité. Présentation. Menu. Présentation P.2 Nos formations P.3 Modalités P.9 Bulletin d inscription P.

Vulgarisation Java EE Java EE, c est quoi?

Présentation OpenVZ. Marc SCHAEFER. 9 janvier 2009

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

P R O J E T P E R S O N N A L I S E E N C A D R E

ATELIERS DE FORMATION TECHNICIEN DE MAINTENANCE INFORMATIQUE

Environnements de développement (intégrés)

Accès au Serveur de PAIE «SPV» par INTERNET Paramétrage du poste de travail «Windows»

Point sur la virtualisation

Virtualisation et sécurité Retours d expérience

06/11/2014 Hyperviseurs et. Infrastructure. Formation. Pierre Derouet

L action cyber Russe au service du renseignement stratégique

RTDS G3. Emmanuel Gaudin

Les attaques APT Advanced Persistent Threats

Rootkit pour Windows Mobile 6

ECOLE POLYTECHNIQUE DSI. Utilisation des serveurs mandataires («proxy») avec les protocoles d usage courant

Créée en 2002, la société PineApp est pionnière sur le. Le siège de la société se trouve aux États-Unis, avec des

Guide d installation d AppliDis Free Edition sur Windows Serveur 2008 R2

La sécurité informatique

Un serveur web léger et ouvert

4. Utilisation d un SGBD : le langage SQL. 5. Normalisation

Virtualisation d application avec VMware ThinApp

Fin du support Windows XP Comment gérer la journée du 9 Avril 2014?

L accès à distance du serveur

VMware vsphere 5 Préparation à la certification VMware Certified Professional 5 Data Center Virtualization (VCP5-DCV) - Examen VCP510

Rapport du projet Qualité de Service

Tutoriel code::blocks

VirtualBox : Installation de Backtrack-4 en machine virtuelle TABLE DES MATIÈRES. I. Préface. II. Prérequis 1. INTRODUCTION

DirectAccess Mobilité et nomadisme, mise en oeuvre de la solution Microsoft

La Martinière Duchère DEVOUASSOUX Côme Année PPE3 Mission 9. Mission 9. 0) Préambule : Configuration des postes virtuels + actifs réseaux :

Powershell. Sommaire. 1) Étude du cahier des charges 2) Veille technologique 3) Administration sur site 4) Automatisation des tâches d administration

Créer un site e-commerce avec PrestaShop Cloud Mise en place et suivi du projet

Présentation Alfresco

PRO CED U RE D I N STALLATI O N

Premier Accelerate Packages: Azure Fast Start

Windows Server 2012 R2 Administration

DEPLOIEMENT MICROSOFT WINDOWS

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

VMWARE VSPHERE ESXI INSTALLATION

Projet Système & Réseau

Les méthodes de sauvegarde en environnement virtuel

E-Remises Paramétrage des navigateurs

Le Ro le Hyper V Troisie me Partie Haute disponibilite des machines virtuelles

Sécurité & Virtualisation Istace Emmanuel

Le serveur web Windows Home Server 2011

Tout d abord les pré-requis : Au menu un certain nombre de KB

SQL SERVER 2008, BUSINESS INTELLIGENCE

Computer Emergency Response Team. Industrie Services Tertiaire. David TRESGOTS. 13 juin 2012 Forum Cert-IST Industrie Services Tertiaire

Programme formation pfsense Mars 2011 Cript Bretagne

Rôles serveur Notion de Groupe de Travail Active Directory Utilisation des outils d administration Microsoft Windows Server 2008

Transcription:

1 Introduction à l analyse de Malwares Mickaël OHLEN IR3

Plan 2 1. Qu est ce qu un malware? 2. Analyse 3. Techniques d obfuscation 4. Démonstration (Analyse de CLogger)

3 1. Qu est ce qu un malware? 2. Analyse 3. Techniques d obfuscation 4. Démonstration (Analyse de CLogger)

«4 Un malware est un logiciel créé dans le but de compromettre un système informatique sans l accord du propriétaire de ce système.»

Ils nous envahissent! 5

Les familles de Malwares 6 Backdoor Ransomware Stealer Rootkit

Command and Control (C&C) 7

Communication avec le C&C 8 MAJ des noms de domaines Le C&C transmet une nouvelle liste de noms de domaines. Fast flux 1 nom de domaine = plusieurs adresses IP DGA (Domain Generation Algorithms) Génération d un très grand nombre d adresses DNS pour contacter un C&C. Exemple : Conficker > 50000 domaines par jour

Fast flux simple 9

Techniques de persistance 10 Base de registre [HKLM]\Software\Microsoft\Windows\CurrentVe rsion\run] Fichier C:\boot.ini Service [HKLM]/SYSTEM/CurrentControlSet/Service Driver

Techniques de dissimulation 11 Injection de code Se cacher dans un processus existant Hook Remplacer un appel système

12 1. Qu est ce qu un malware? 2. Analyse 3. Techniques d obfuscation 4. Démonstration (Analyse de CLogger)

Pourquoi analyser un malware? 13 Comprendre son fonctionnement Quel est l objectif du malware? Quelles sont ses actions? Comment se propage t-il? Quelle est son origine? Définir des méthodes d éradication Comment s en débarrasser? Comment retrouver les machines infectées? Comment prévenir une infection future?

De quoi a t-on besoin? 14 Un échantillon (sample) Un environnement sécurisé et isolé Des connaissances en programmation, système, sécurité et réseau Du courage et de la patience

Pourquoi un environnement sécurisé et isolé? 15 Besoin d exécuter le malware pour l analyser dynamiquement Interagir avec le malware pour comprendre son fonctionnement Observer les interactions du malware avec le système Quels fichiers sont infectés? Quelles sont les informations échangées sur le réseau? Quels sont ses impacts au niveau du système?

Environnements d analyse 16 Sandbox Machine virtuelle Isoler le réseau (Host-only Adapter, FakeNet ) Simuler une machine physique

Processus d analyse 17 Analyse statique Format de fichier Chaines de caractères Format PE Désassemblage Analyse dynamique Base de registre Système de fichiers Activité réseau Débogage

Analyse statique 18 Déterminer le format de fichier Commande file Magic numbers MZ : fichier au format executable Windows. %PDF : fichier au format PDF. GIF : fichier au format GIF. CAFEBABE (en héxadecimal) : fichier contenant une classe Java. PK : fichier au format ZIP.

Analyse statique 19 Identifier les chaines de caractères Commande strings

Analyse statique 20 Analyser le format PE Champ Imports Exports Time Date Stamp Ressources Informations utiles Fonctions d autres librairies utilisées par le malware Fonctions du malware appelables par d autres programmes Date de compilation Strings, icon PE Explorer, PEview

Analyse statique 21 Désassemblage IDA PRO

Analyse statique 22 Avantages Large couverture Indépendant de l architecture Pas de risque d infection Limites Assembleur Obfuscation

Analyse dynamique 23 Exécution du Malware Récupération des résultats Snapshot Préparation des outils Débogage Base de registre Système de fichiers Activité réseau Restauration du snapshot

Analyse dynamique 24 Activité au niveau de la base de registre Process Monitor Regshot

Analyse dynamique 25 Activité au niveau du système de fichiers Process Monitor

Analyse dynamique 26 Activité réseau WireShark

Analyse dynamique 27 Débogage OllyDbg

Analyse dynamique 28 Avantages Comportement réel du malware Interaction Limites Un seul flux d exécution Problème de sécurité Obfuscation

29 1. Qu est ce qu un malware? 2. Analyse 3. Techniques d obfuscation 4. Démonstration (Analyse de CLogger)

«30 L Obfuscation est une technique rendant un binaire ou un texte illisible et/ou difficile à comprendre.»

Chaines de caractères 31 ROT13 Décaler chaque lettre de 13 caractères Ex : Herpesnet

Packers 32

Anti VM 33 Détection de caractéristiques types Port «VM» ouvert sous VMWare Détection de processus «VBoxService.exe» sous VirtualBox Exploitation de vulnérabilité VirtualBox (CVE-2012-3221)

Anti debug 34 Gestion du temps Détection de points d arrêt Détection de processus

35 1. Qu est ce qu un malware? 2. Analyse 3. Techniques d obfuscation 4. Démonstration (Analyse de CLogger)

Résultats d analyse 36 Persistance dans la base de registre Capture SSC.jpg dans dossier temp C&C = decyphersoftware@gmail.com Obfuscation basique Fonctionnalités Upload FTP Désactivation pare feu et TM Stealer

Conclusion 37 Domaine porteur Malwares de plus en plus sophistiqués Analyse difficile Règles d or Ne pas chercher à comprendre tout à 100% Si un outil ne fonctionne pas, en prendre un autre Maintenir ses outils à jour

Pour aller plus loin 38 Trouver des samples http://openmalware.org/ http://malwaredb.malekal.com http://virusshare.com/ Outils Sandbox en ligne : http://www.malwr.com Détecteur de packers : PEiD Désassembleur : IDA Debugeur : OllyDbg Documentation http://www.malware.lu/ Practical Malware Analysis

Merci de votre attention 39 Questions?

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back