Annonce

Rduire
Aucune annonce.

Analyse complet d'un trojan

Rduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Tutoriel Analyse complet d'un trojan

    La plupart desgens scan sur les sites comme novirusthanks ou autres et bien un scan novirusthanks ne suffit pas, car un server peut tre FUD donc Dtect par aucun virus

    voici un scan d'un fichier nomm patch.exe, qui est un server d'un RAT.
    je vais vous montrer qu'en analysant un server de RAT, on peut par exemple conntre l'adresse ip de celui qui envoie ce virus, ce qui est assez utile pour une technique de social social engineering (je vous l'expliquerais dans un autre tuto)

    eh bien, commenons !

    Exemple : rsultats d'analyse du fichier patch.exe

    1) Rsum-Summary :

    En entte du rapport, nous avons un bref rsum de l'analyse, avec un code de couleur indiquant le niveau de dangerosit sur certaines modifications du systme values par le site.



    Ici, nous avons dans l'ordre :
    • Changement des paramtres de scurit d'IE: Ce changement de systme a pu srieusement affecter la sret du surf sur le net. Risque valu : pastille orange.
    • Modification et destruction de dossier: L'excutable modifie et dtruit des dossiers qui ne sont pas temporaires. Risque valu : pastille rouge.
    • Processus engendrs: L'excutable cre des processus pendant son excution. Risque valu : pastille jaune.
    • Activit du registre: L'excutable lit et modifie des valeurs du registre. Il peut galement crer et surveiller des clefs du registre. Risque valu : pastille jaune.


    2) Tables des matires : nous avons ensuite la table des matires qui rsume les actions listes du processus patch.exe, ainsi que les diffrents processus crs ou sollicits lors de son excution




    Dans notre exemple, la table des matires nous indique que l'excution du fichier patch.exe a dclench l'excution de ces autres fichiers : evbmy.exe, oojrg.exe, wwry.exe, rssgwysf.exe, et cmd.exe.

    3) Informations gnrales relatives Anubis:



    Dans cette partie, nous avons des informations gnrales relatives au site, savoir ici dans l'ordre :
    • La dure qu'a demand l'analyse du fichier.
    • La date et l'heure de la cration du rapport.
    • La Raison invoque pour terminer le scan.
    • La version du programme utilise par le site.


    4) Activit de rseau - Network Activity :



    Cette partie du rapport nous renseigne sur les activits lies au rseau, ici Anubis dtecte des tentatives de connexion au rseau sur le port 53.

    5) 2. Patch.exe



    Nous avons ici des informations relatives au fichier soumis l'analyse, savoir dans l'ordre :
    • Raison de l'analyse: fichier soumis une analyse.
    • Nom du fichier: patche.exe
    • MD5: algorithme qui permet d'obtenir l'empreinte numrique caractristique et unique d'une quantit fixe de donnes d'un fichier (fonction de hachage cryptographique).
    • SHA-1: autre fonction de hachage cryptographique.
    • Taille du fichier
    • Ligne de commande
    • tat du fichier la fin de la simulation: ici dead signifie que le fichier n'tait plus actif, une fois son traage termin.
    • Code renvoy de fin d'analyse


    6) Chargement de liaison dynamique - Load-time Dlls :



    Ici, le rapport nous renseigne sur l'appel de fonctions de fichiers.dll fait par le systme, qui seront ncessaires au fonctionnement du virus, appel de fonctions ralis pendant la compilation du code de ce dernier.

    7) Excution de liaison dynamique - Run-time Dlls:



    A ce niveau, le rapport nous renseigne sur l'importation de fonctions de fichiers.dll par l'excutable, autres fonctions dont il aura besoin pour son fonctionnement.

    8) Module de balayage de l'antivirus d'Ikarus intgr Anubis:



    Nous avons ici le rsultat de l'analyse antivirus intgr au site Anubis.

    9) 2.a) patch.exe - Activits du registre

    Les valeurs du registre modifies:



    Ici, le rapport nous renseigne sur les modifications ralises par le virus dans la base de registre. A ce niveau, il faudra de solides connaissances en fonctionnement de la base de registre pour comprendre et faire la diffrence entre une cl ajoute par le virus ou celle modifi visant affecter les paramtres de scurit du systme par exemple.

    Cls de registres lues:



    Ici, le rapport nous indique les valeurs des cls lues par le virus.

    Cls du registre surveilles :



    Ici sont rpertories toutes les cls ou valeurs du registres surveilles en temps rel par le virus.

    10) 2.b) patch.exe - Activit du fichier

    Fichiers crs: visibles ici dans les fichiers internet temporaires.



    Fichiers lus:



    Nous avons ici la liste des fichiers dont le virus aura excuts ou lus le contenu, c'est--dire que l'on y trouvera autant de fichiers sains que de fichiers relatifs, ncessaires au processus d'infection.

    Fichiers modifis:




    Nous avons ce niveau des fichiers tlchargs par l'infection, que l'on retrouve ici dans fichiers Internet temporaires, d'o la mention fichiers modifis des fichiers temporaires.

    Dans la suite, nous avons trois modules nous renseignant sur d'autres fichiers ou drivers sollicits par le virus au cours de son excution.

    11) 2.c) patch.exe - Activits du processus :

    Processus cres :



    Ici sera list les fichiers crs ou sollicits pour le fichier patch.exe

    Dans la suite, le rapport fournit d'autres informations relatives aux actions des fichiers crs ou utiliss par patch.exe

    12) 2.d) patch.exe - Activit de rseau:


    Dans cette partie, le rapport indique tous les noms de domaine (contenu dans le code du virus) tests. Si la rponse est positive, le serveur DNS convertira alors ces noms de domaine en adresses IP, que le rapport mentionnera.

    Connexion HTTP:


    Ici, le virus vrifie si les pages sur lesquelles il va essayer de se connecter existent bien. Si les pages existent, et que la connexion s'est correctement tablie, le virus pourra alors tranquillement commencer tlcharger de nouveaux fichiers infects l'insu de l'utilisateur.

    Trafic TCP inconnu et Tentatives de raccordement TCP:


    Aprs avoir mis en vidence un change de donnes (ici des fichiers.exe) avec le rseau extrieur, Anubis fait le rsum des tentatives de connexions TCP sortantes sur le port 80.

    13) 2.e) Patch.exe - Autres activits:

    Mutexes cres:



    Ici, sont lists les mutexes crs par le virus afin de rguler son activit et d'viter que plusieurs de ses actions ne s'excutent en mme temps, ce qui pourrait nuire son bon fonctionnement ou mme "crasher" le systme.



    Cette partie correspond au rsum de la gestion des exceptions, autrement dit, des vnements inattendus ou ceux pouvant perturber le droulement normal d'un processus.

    14) 3.Evbmy.exe : Nous passons, prsent, la 2me partie du rapport qui va nous renseigner sur les agissements des fichiers crs par le fichier patch.exe, tracs leur tour.



    Ici, nous retrouvons les informations gnrales relatives au fichier evbmy.exe :
    • Raison de l'analyse : processus dmarr par le fichier patch.exe
    • Nom du fichier: evbmy.exe
    • tat du fichier la fin de la simulation: ici alive signifie que le processus tait encore en cours d'excution la fin de l'analyse.
    • Code renvoy de fin d'analyse.


    Et hop ! le processus recommence ! Dans la suite, Anubis fournira les informations sur les fichiers fils bases sur les mmes critres d'analyse.

    Ces outils en ligne, fournissant de prcieuses informations sur les agissements d'un fichier, ne sont malheureusement pas sans failles, et pourront s'avrer totalement inefficaces sur certains fichiers infects soumis une analyse. En effet certains fichiers immuniss sont capables de dterminer s'ils sont excuts dans un environnement virtuel et ou s'ils sont tracs, et dans ce cas, le rapport ne fournira aucune information pertinente.
    Dernire modification par CrazyCoder, 27 octobre 2011, 14h35.

  • #2
    Un tutoriel qui flirte avec la perfection .... !!!
    En plus il tombe pic , j'expliquais un mec un peu " bas du front " comment reverse un NOIP , et voila ce chef d'oeuvre de tuto ...J'espere qu'il le lira
    Bravo toi , trs soign !

    Commentaire


    • #3
      Nice tut !

      "bas du front"... t'as des expressions dignes de proverbes africains mec
      sigpic

      Cyprium Download Link

      Plus j'tudie plus j'me rends compte que je n'sais rien.

      |

      Commentaire


      • #4
        vous utilis quel logiciel please ?

        Commentaire


        • #5
          Hello,

          @deoland : Il existes plusieurs site Internet qui excute ton malware dans un environnement "bac--sable".
          - http://malwr.com/
          - http://anubis.iseclab.org/
          - http://www.threatexpert.com/


          Cordialement.

          Commentaire


          • #6
            Bon, petites remarques gnrales sur la rtroingnierie (RE).

            Il existe deux facons de faire de la RE.

            1 - De l'ingnierie inverse en statique: On dsassemble et on dcompile le code, puis on analyse le code dcompil sans l'xcuter. L'avantage de cette mthode est que l'on chope la plupart des chemins d'xcution. L'inconvnient tant que c'est trs trs long...
            2 - De l'ingnierie inverse en dynamique: On dsassemble et on dcompile le code, puis on suis son xcution et ses effets pas pas. L'avatage de cete mthode tant la rapidit, et la facilit d'aprhention. Le souci tant que l'on ne vois que les chemins pas lesquels passe notre flux d'xecution.

            Dans la vraie vie, on fait les deux. On xcute le code en tudiant son fonctionnement (dynamique), puis on analyse les parties critiques en statique.

            Le prrequis tant d'analyser le code et ses effets d'une facon satellitaire: Quels fichiers ces / modifis ? Quels appels systme effectus ? Quel trafic rseau gnr ? etc. Tu as des tonnes de facons de voir ca.

            Lorsqu'il s'agit d'un code malveillant, il faut bien entendu le faire tourner dans une machine virtuelle que l'on va auditer.
            N'oubliez pas de dconnecter votre machine virtuelle infecte du rseau, ou de l'isoler comme il faut si vous voulez observer le papotage du malware avec un serveur distant.

            Les outils:
            Ceci n'est pas exaustif. Ce sont juste les outils sur les quels j'ai mes petites habitudes.
            - OllyDBG : Dsassembleur
            - IDA + hexRays : Dcompileur
            - Wireshark : Audit rseau
            - Un bon diteur hexadcimal
            - Pour ceux qui ont du mal avec le calcul mental, une calulatrice / convertisseur hexa vers binaire, dcimal, etc. (tu trouves facilement en ligne tout ce qui va bien)
            - Divers outils pour faciliter l'audit de l'OS.
            - VMWare Player
            - iso Windows


            De la patience, la RE c'est long et chiant. Dans ce domaine, l'exprience que vous avez compte vraiment beaucoup pour "sentir" les choses. Aprs avoir fait deux ou trois malwares, vous allez beaucoup plus vite capter ce qui se passe. C'est finalement assez rptitif. On retrouve en gros les mmes fonctionnalits dans la plupart des malwares.

            On remarquera aussi que c'est gnralement plus facile de faire de la RE de malware que de logiciels propritaires classiques:
            Les malwares sont rarement lourdement protgs contre la RE, et leurs fonctionnalites restent en gnral assez limites.

            Tortue 974.
            Dernire modification par TorTukiTu, 22 octobre 2013, 10h55.
            OxyGen Software
            Scurit, dveloppement, formations, informatique biomdicale
            [email protected]

            Commentaire


            • #7
              On peut aussi noter en plus comme outil pour faire de la RE :
              - DiffView
              - InCtrl5
              - Ressource Hacker
              - PEiD
              - Dependency Walker
              - PEview
              - TN Strings

              Et srement plein d'autre que je ne connais pas.

              Commentaire

              Chargement...
              X