Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

[Tapez un texte] [Tapez un texte] [Tapez un texte] lepouvoirclapratique.blogspo

[Tapez un texte] [Tapez un texte] [Tapez un texte] lepouvoirclapratique.blogspot.fr  http://lepouvoirclapratique.blogspot.fr/  Cédric BERTRAND  Juin 2012 Devenir analyste de malwares Créer son laboratoire d’analyse, obtenir des échantillons, étudier et analyser les malwares, traquer les réseaux, exemples d’analyses et de code-source, travailler dans l’analyse de malwares Analyse de malwares http://lepouvoirclapratique.blogspot.fr Page 2 Sommaire 1. L’étude des malwares .................................................................................................... 6 1.1. Pourquoi analyser les malwares ? ........................................................................... 6 1.2. Où trouver des malwares ? ..................................................................................... 6 1.2.1. Les forums / sites d’échange / blogs d’analyse................................................. 6 1.2.2. Les honeypots .................................................................................................. 7 1.2.3. Les trackers ..................................................................................................... 8 1.2.4. Par courriel ....................................................................................................... 8 1.2.5. Navigation sur Internet ..................................................................................... 8 1.3. Etudier les malwares en toute sécurité .................................................................... 9 1.3.1. Créer son laboratoire d’analyse de malwares ................................................... 9 1.3.2. Les distributions dédiées à l’analyse de malware ............................................10 2. Les méthodologies d’analyse ........................................................................................12 2.1. L’analyse statique ou désassemblage ....................................................................12 2.1.1. Définition .........................................................................................................12 2.1.2. Les outils .........................................................................................................13 2.1.3. Quelques exemples d’analyses statiques ........................................................16 2.2. L’analyse dynamique ou l’analyse comportementale ..............................................17 2.2.1. Les outils d’analyses comportementales en ligne ............................................18 2.2.2. Les outils d’analyses dynamiques en local ......................................................18 2.2.3. Exemples d’analyses dynamiques ...................................................................22 2.3. L’analyse de malwares avec Volatility ....................................................................23 2.4. Analyses diverses ..................................................................................................24 2.4.1. Analyser une url ..............................................................................................24 2.4.2. Analyser un document PDF et Microsoft Office malicieux ...............................25 2.4.3. Analyse de malwares mobiles .........................................................................27 3. Ressources supplémentaires (analyse, tutoriaux, etc.) ..................................................29 3.1. Par où commencer ? ..............................................................................................29 3.1.1. Le cracking / le reverse engineering ................................................................29 3.1.2. Débuter dans l’analyse de malwares ...............................................................29 3.2. Quelques exemples d’analyse ................................................................................29 3.3. Quelques codes-source de malwares ....................................................................30 3.4. Les ezines consacrés aux malwares ......................................................................30 3.5. Quelques livres sur les malwares ...........................................................................30 3.6. Challenges d’analyse de malwares ........................................................................32 4. Travailler dans l’analyse de malwares ...........................................................................33 4.1. Exemples d’annonces ............................................................................................33 4.1.1. Exemple d’une offre pour un développer de malwares ( ..................................33 4.1.2. Exemple d’offre : Recherche d’un analyste de malwares ................................33 Analyse de malwares http://lepouvoirclapratique.blogspot.fr Page 3 4.1.3. Exemple de poste proposé par une boîte de conseil sur Paris ........................34 4.2. Profil recherché ......................................................................................................34 4.2.1. Diplômes .........................................................................................................34 4.2.2. Compétences ..................................................................................................34 4.2.3. Exemples de compétences recherchées lors d’annonces ...............................35 4.3. Exemples d’articles d’entreprises françaises spécialisées dans la sécurité ............35 4.3.1. XMCO .............................................................................................................35 4.3.2. Lexsi ...............................................................................................................36 5. Traquer les malwares / les réseaux ...............................................................................37 5.1. Tracking des réseaux nigériens ..............................................................................37 5.2. S’infiltrer dans les réseaux d’affiliation ....................................................................38 5.3. Tracking de botnets ................................................................................................39 6. Conclusion ....................................................................................................................40 Analyse de malwares http://lepouvoirclapratique.blogspot.fr Page 4 Table des illustrations Figure 1 Ghost USB Malware ................................................................................................ 7 Figure 2 Malware Domain List ............................................................................................... 8 Figure 3 Exemple de malwares reçu par pièce jointe ............................................................ 8 Figure 4 Exemple d'architecture d'un laboratoire d'analyse de malwares .............................. 9 Figure 5 Interface de DeepFreeze ........................................................................................10 Figure 6 Remnux, distribution pour l'analyse de malwares ...................................................10 Figure 7 Distribution ZeroWine pour l'analyse de malwares .................................................11 Figure 8 Exemple d’analyse par désassemblage..................................................................13 Figure 9 Interface d'IDA ........................................................................................................13 Figure 10 Interface d'Immunity Debugger .............................................................................14 Figure 11 Analyse d'un fichier suspect avec Malware Analyser ............................................15 Figure 12 Analyse d'un fichier exécutable avec PE Explorer ................................................15 Figure 13 Peframe, outil d'aide à l'analyse d'exécutables .....................................................15 Figure 14 Exemple d'utilisation de Hook Analyser Malware Tool ..........................................16 Figure 15 Radare, framework de reverse-engineering ..........................................................16 Figure 16 Exemple d'analyse dynamique .............................................................................17 Figure 17 Exemples d'analyses comportementales ..............................................................18 Figure 18 Analyse automatisée avec Cuckoo Sandbox ........................................................19 Figure 19 Interface de Fiddler...............................................................................................20 Figure 20 Interface de Wireshark .........................................................................................20 Figure 21 Process explorer permet d'afficher les processus en profondeur ..........................21 Figure 22 Surveiller l'accès aux fichiers et au registre avec Process Monitor .......................22 Figure 23 Exemples de comportements suspects détectés par un HIPS ..............................22 Figure 24 Détection d'un processus caché avec Volatility.....................................................23 Figure 25 Détection des api hookées avec Volatility .............................................................23 Figure 26 Détection des connexions établies avec Volatility .................................................23 Figure 27 Analyse d'une URL suspecte ................................................................................24 Figure 28 Interface de Malzilla ..............................................................................................24 Figure 29 Analyse de documents PDF malicieux..................................................................25 Figure 30 Création et récupération d'un fichier pdf malicieux avec Metasploit ......................26 Figure 31 Recherche de signatures malicieuses dans un document Microsoft Office ...........26 Figure 32 Augmentation des malwares sous Android ...........................................................27 Figure 34 recherche pour un développeur de malwares .......................................................33 Figure 35 Recherche d'un analyste de malwares .................................................................33 Figure 36 Offre d'une boite française pour un travail à Singapour ........................................34 Figure 37 Exemples de profils recherchés pour l'analyse de malwares ................................35 Figure 38 Ezine de XMCO ....................................................................................................35 Figure 39 Extrait article blog de Lexsi ...................................................................................36 Figure 40 Exemple d’arnaque nigérienne .............................................................................37 Figure 41 Localisation des escrocs nigériens .......................................................................38 Figure 42 Dialogue avec un des cybercriminels ...................................................................38 Figure 43 Tentative d'accès aux interfaces d'administration des sites des cybercriminels ....38 Analyse de malwares http://lepouvoirclapratique.blogspot.fr Page 5 Glossaire Adware Logiciel publicitaire Analyse forensique Analyse d’un système suite à un incident de sécurité Backdoor Outil permettant de contrôler un ordinateur à distance Blindage Procédé permettant de ralentir l’analyse d’un malware Botnet Ensemble de machines infectées reliées entre elles Cheval de troie Idem que Backdoor Cryptographie Techniques permettant d’assurer la confidentialité des données DDos Technique qui consiste à saturer un service pour le rendre indisponible Exploit Programme permettant d’exploiter une vulnérabilité Exploits pack Outil permettant d’infecter un ordinateur de manière automatique par la simple consultation d’un site web Exploit/faille 0-Day Vulnérabilité pour laquelle il n’existe pas encore de correctif Honeypot Simulation d’une machine vulnérable afin de pouvoir étudier les attaques de malwares ou des pirates Malware Logiciel malveillant (vers, virus, backdoors, etc.) Obfuscation Procédé consistant à rendre un code viral plus compliqué à comprendre Packer Logiciel utilisé pour rendre un malware indétectable aux antivirus Phishing Technique utilisée pour soutirer des informations à un utilisateur Ransomware Logiciel malveillant bloquant l’ordinateur Reverse engineering Technique consistant à décompiler un programme afin de l’analyser Rootkit Ensemble de techniques permettant de masquer la présence Sandbox Procédé consistant à exécuter une application dans un environnement sécurisé Spams Courriel indésirable Tracker Logiciel de suivi Documents de référence [MALEKAL] Projet Antimalwares [MISC] Recherche « à froid » de malwares sur support numérique [MISC] Analyse de documents malicieux : Les cas PDF et MS Office [MISC] Analyse de malwares sans reverse engineering [MISC] Analyse de malwares avec Cuckoo Sandbox [SecurityVibes ] Analyse de malware à la sauce maison [d4 n3ws] News underground [Malekal] Site consacré à la lutte contre les malwres Analyse de malwares http://lepouvoirclapratique.blogspot.fr Page 6 1. L’étude des malwares Ce document est un composant du dossier sur les Malwares ; Il est la suite du premier article consacré à l’état de l’art des malwares. 1.1. Pourquoi analyser les malwares ? Il n’y a de nombreuses raisons pour analyser les malwares. Par exemple : - Apprendre à s’en protéger - Passion / défi intellectuel (fonctionnement des programmes malveillants, évolution des méthodes d’infection, etc.) - Identifier les actions malveillantes et les impacts d’un malware sur un système (mots de passe dérobés, vol d’informations personnelles, etc.) - Déterminer les causes d’un incident (analyse forensique 1 suite à un incident de sécurité) - S’introduire dans les réseaux cybercriminels / Arrêter leurs auteurs Avec plus de 70000 nouveaux malwares créés par jour (chiffres prévisionnels en 2012), il y a de quoi faire. 1.2. Où trouver des malwares ? Pour trouver des malwares à analyser, il y a de nombreux moyens. Il est bien sûr possible de se balader sur Internet et de cliquer sur tout lien suspect jusqu’à ce que l’ordinateur se comporte de manière étrange. Mais il y a aussi des manières plus simples et plus sécurisées. En voici quelques unes. 1.2.1. Les forums / sites d’échange / blogs d’analyse Il existe toute une communauté autour de l’analyse de malwares : forums, sites, blogs, etc. Certains de ces sites mettent à disposition des échantillons permettant d’effectuer des analyses. Quelques adresses : - [EN] KernelMode : Forum d’échange et d’analyse de malwares. Met à disposition des lecteurs des échantillons - [FR] Malware.lu : Excellent site mettant à disposition des échantillons de malwares et proposant des analyses - [EN] Contagio Exchange : Site permettant d’échanger et de télécharger des malwares (EN) - [EN] CrowdRE : Plate-forme collaborative d’analyse de malwares 1 http://fr.wikipedia.org/wiki/Analyse_forensique Analyse de malwares http://lepouvoirclapratique.blogspot.fr Page 7 Sites et blogs consacrés à l’étude des malwares, quelques exemples : - [FR] VadeRetro Sales malwares : Articles et tutoriaux sur les malwares - [FR] Malekal’s Site : Excellent site consacré à l’entraide informatique. De nombreux exemples d’analyses comportementales (FR) - [FR] Malware Analysis & Diagnostics : Analyse de malwares - [EN] FireEye Malware Intelligence Lab : Site de recherche et d’analyses de malwares - [EN] Evil3ad : Site d’analyse de malwares - [EN] M86SecurityLabs : Site consacré aux attaques (malwares, cybercriminalité) - [EN] Fun in malwares analysis (tutoriaux sur l’analyse de malwares) Les blogs des compagnies antivirales publient aussi de nombreuses analyses : - Blog de Kaspersky - Blog d’Eset - Blog de Norton - Blog de Sophos Enfin le site Secubox Labs offre aussi un flux rss de sites / blogs consacrés aux malwares. 1.2.2. Les honeypots Un honeypot permet d’émuler des services sur une machine afin de simuler le fonctionnement d’une machine de production 2. En général, c’est un programme ou un ordinateur volontairement vulnérable destiné à attirer et à piéger uploads/Management/ devenir-analyste-de-malwares.pdf