Annonce

Réduire
Aucune annonce.

Analyse complet d'un trojan

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Tutoriel Analyse complet d'un trojan

    La plupart desgens scan sur les sites comme novirusthanks ou autres et bien un scan novirusthanks ne suffit pas, car un server peut être FUD donc Détecté par aucun virus

    voici un scan d'un fichier nommé patch.exe, qui est un server d'un RAT.
    je vais vous montrer qu'en analysant un server de RAT, on peut par exemple connître l'adresse ip de celui qui envoie ce virus, ce qui est assez utile pour une technique de social social engineering (je vous l'expliquerais dans un autre tuto)

    eh bien, commençons !

    Exemple : résultats d'analyse du fichier patch.exe

    1) Résumé-Summary :

    En entête du rapport, nous avons un bref résumé de l'analyse, avec un code de couleur indiquant le niveau de dangerosité sur certaines modifications du système évaluées par le site.



    Ici, nous avons dans l'ordre :
    • Changement des paramètres de sécurité d'IE: Ce changement de système a pu sérieusement affecter la sûreté du surf sur le net. Risque évalué : pastille orange.
    • Modification et destruction de dossier: L'exécutable modifie et détruit des dossiers qui ne sont pas temporaires. Risque évalué : pastille rouge.
    • Processus engendrés: L'exécutable crée des processus pendant son exécution. Risque évalué : pastille jaune.
    • Activité du registre: L'exécutable lit et modifie des valeurs du registre. Il peut également créer et surveiller des clefs du registre. Risque évalué : pastille jaune.


    2) Tables des matières : nous avons ensuite la table des matières qui résume les actions listées du processus patch.exe, ainsi que les différents processus créés ou sollicités lors de son exécution




    Dans notre exemple, la table des matières nous indique que l'exécution du fichier patch.exe a déclenché l'exécution de ces autres fichiers : evbmy.exe, oojrg.exe, wwry.exe, rssgwysf.exe, et cmd.exe.

    3) Informations générales relatives à Anubis:



    Dans cette partie, nous avons des informations générales relatives au site, à savoir ici dans l'ordre :
    • La durée qu'a demandé l'analyse du fichier.
    • La date et l'heure de la création du rapport.
    • La Raison invoquée pour terminer le scan.
    • La version du programme utilisée par le site.


    4) Activité de réseau - Network Activity :



    Cette partie du rapport nous renseigne sur les activités liées au réseau, ici Anubis détecte des tentatives de connexion au réseau sur le port 53.

    5) 2. Patch.exe



    Nous avons ici des informations relatives au fichier soumis à l'analyse, à savoir dans l'ordre :
    • Raison de l'analyse: fichier soumis à une analyse.
    • Nom du fichier: patche.exe
    • MD5: algorithme qui permet d'obtenir l'empreinte numérique caractéristique et unique d'une quantité fixée de données d'un fichier (fonction de hachage cryptographique).
    • SHA-1: autre fonction de hachage cryptographique.
    • Taille du fichier
    • Ligne de commande
    • État du fichier à la fin de la simulation: ici dead signifie que le fichier n'était plus actif, une fois son traçage terminé.
    • Code renvoyé de fin d'analyse


    6) Chargement de liaison dynamique - Load-time Dlls :



    Ici, le rapport nous renseigne sur l'appel de fonctions de fichiers.dll fait par le système, qui seront nécessaires au fonctionnement du virus, appel de fonctions réalisé pendant la compilation du code de ce dernier.

    7) Exécution de liaison dynamique - Run-time Dlls:



    A ce niveau, le rapport nous renseigne sur l'importation de fonctions de fichiers.dll par l'exécutable, autres fonctions dont il aura besoin pour son fonctionnement.

    8) Module de balayage de l'antivirus d'Ikarus intégré à Anubis:



    Nous avons ici le résultat de l'analyse antivirus intégré au site Anubis.

    9) 2.a) patch.exe - Activités du registre

    Les valeurs du registre modifiées:



    Ici, le rapport nous renseigne sur les modifications réalisées par le virus dans la base de registre. A ce niveau, il faudra de solides connaissances en fonctionnement de la base de registre pour comprendre et faire la différence entre une clé ajoutée par le virus ou celle modifié visant à affecter les paramètres de sécurité du système par exemple.

    Clés de registres lues:



    Ici, le rapport nous indique les valeurs des clés lues par le virus.

    Clés du registre surveillées :



    Ici sont répertoriées toutes les clés ou valeurs du registres surveillées en temps réel par le virus.

    10) 2.b) patch.exe - Activité du fichier

    Fichiers créés: visibles ici dans les fichiers internet temporaires.



    Fichiers lus:



    Nous avons ici la liste des fichiers dont le virus aura exécutés ou lus le contenu, c'est-à-dire que l'on y trouvera autant de fichiers sains que de fichiers relatifs, nécessaires au processus d'infection.

    Fichiers modifiés:




    Nous avons à ce niveau des fichiers téléchargés par l'infection, que l'on retrouve ici dans fichiers Internet temporaires, d'où la mention « fichiers modifiés » des fichiers temporaires.

    Dans la suite, nous avons trois modules nous renseignant sur d'autres fichiers ou drivers sollicités par le virus au cours de son exécution.

    11) 2.c) patch.exe - Activités du processus :

    Processus crées :



    Ici sera listé les fichiers créés ou sollicités pour le fichier patch.exe

    Dans la suite, le rapport fournit d'autres informations relatives aux actions des fichiers créés ou utilisés par patch.exe

    12) 2.d) patch.exe - Activité de réseau:


    Dans cette partie, le rapport indique tous les noms de domaine (contenu dans le code du virus) testés. Si la réponse est positive, le serveur DNS convertira alors ces noms de domaine en adresses IP, que le rapport mentionnera.

    Connexion HTTP:


    Ici, le virus vérifie si les pages sur lesquelles il va essayer de se connecter existent bien. Si les pages existent, et que la connexion s'est correctement établie, le virus pourra alors « tranquillement » commencer à télécharger de nouveaux fichiers infectés à l'insu de l'utilisateur.

    Trafic TCP inconnu et Tentatives de raccordement TCP:


    Après avoir mis en évidence un échange de données (ici des fichiers.exe) avec le réseau extérieur, Anubis fait le résumé des tentatives de connexions TCP sortantes sur le port 80.

    13) 2.e) Patch.exe - Autres activités:

    Mutexes crées:



    Ici, sont listés les mutexes créés par le virus afin de « réguler » son activité et d'éviter que plusieurs de ses actions ne s'exécutent en même temps, ce qui pourrait nuire à son « bon fonctionnement » ou même "crasher" le système.



    Cette partie correspond au résumé de la gestion des exceptions, autrement dit, des événements inattendus ou ceux pouvant perturber le déroulement normal d'un processus.

    14) 3.Evbmy.exe : Nous passons, à présent, à la 2ème partie du rapport qui va nous renseigner sur les agissements des fichiers créés par le fichier patch.exe, tracés à leur tour.



    Ici, nous retrouvons les informations générales relatives au fichier evbmy.exe :
    • Raison de l'analyse : processus démarré par le fichier patch.exe
    • Nom du fichier: evbmy.exe
    • État du fichier à la fin de la simulation: ici alive signifie que le processus était encore en cours d'exécution à la fin de l'analyse.
    • Code renvoyé de fin d'analyse.


    Et hop ! le processus recommence ! Dans la suite, Anubis fournira les informations sur les fichiers fils basées sur les mêmes critères d'analyse.

    Ces outils en ligne, fournissant de précieuses informations sur les agissements d'un fichier, ne sont malheureusement pas sans failles, et pourront s'avérer totalement inefficaces sur certains fichiers infectés soumis à une analyse. En effet certains fichiers « immunisés » sont capables de déterminer s'ils sont exécutés dans un environnement virtuel et ou s'ils sont tracés, et dans ce cas, le rapport ne fournira aucune information pertinente.
    Dernière modification par CrazyCoder, 27 octobre 2011, 14h35.

  • #2
    Un tutoriel qui flirte avec la perfection .... !!!
    En plus il tombe à pic , j'expliquais à un mec un peu " bas du front " comment reverse un NOIP , et voila ce chef d'oeuvre de tuto ...J'espere qu'il le lira
    Bravo à toi , très soigné !

    Commentaire


    • #3
      Nice tut !

      "bas du front"... t'as des expressions dignes de proverbes africains mec
      sigpic

      Cyprium Download Link

      Plus j'étudie plus j'me rends compte que je n'sais rien.

      †|

      Commentaire


      • #4
        vous utilisé quel logiciel please ?

        Commentaire


        • #5
          Hello,

          @deoland : Il existes plusieurs site Internet qui exécute ton malware dans un environnement "bac-à-sable".
          - http://malwr.com/
          - http://anubis.iseclab.org/
          - http://www.threatexpert.com/


          Cordialement.

          Commentaire


          • #6
            Bon, petites remarques générales sur la rétroingénierie (RE).

            Il existe deux facons de faire de la RE.

            1 - De l'ingénierie inverse en statique: On désassemble et on décompile le code, puis on analyse le code décompilé sans l'éxécuter. L'avantage de cette méthode est que l'on chope la plupart des chemins d'éxécution. L'inconvénient étant que c'est très très long...
            2 - De l'ingénierie inverse en dynamique: On désassemble et on décompile le code, puis on suis son éxécution et ses effets pas à pas. L'avatage de cete méthode étant la rapidité, et la facilité d'apréhention. Le souci étant que l'on ne vois que les chemins pas lesquels passe notre flux d'éxecution.

            Dans la vraie vie, on fait les deux. On éxécute le code en étudiant son fonctionnement (dynamique), puis on analyse les parties critiques en statique.

            Le prérequis étant d'analyser le code et ses effets d'une facon satellitaire: Quels fichiers cées / modifiés ? Quels appels système effectués ? Quel trafic réseau généré ? etc. Tu as des tonnes de facons de voir ca.

            Lorsqu'il s'agit d'un code malveillant, il faut bien entendu le faire tourner dans une machine virtuelle que l'on va auditer.
            N'oubliez pas de déconnecter votre machine virtuelle infectée du réseau, ou de l'isoler comme il faut si vous voulez observer le papotage du malware avec un serveur distant.

            Les outils:
            Ceci n'est pas exaustif. Ce sont juste les outils sur les quels j'ai mes petites habitudes.
            - OllyDBG : Désassembleur
            - IDA + hexRays : Décompileur
            - Wireshark : Audit réseau
            - Un bon éditeur hexadécimal
            - Pour ceux qui ont du mal avec le calcul mental, une calulatrice / convertisseur hexa vers binaire, décimal, etc. (tu trouves facilement en ligne tout ce qui va bien)
            - Divers outils pour faciliter l'audit de l'OS.
            - VMWare Player
            - iso Windows


            De la patience, la RE c'est long et chiant. Dans ce domaine, l'expérience que vous avez compte vraiment beaucoup pour "sentir" les choses. Après avoir fait deux ou trois malwares, vous allez beaucoup plus vite capter ce qui se passe. C'est finalement assez répétitif. On retrouve en gros les mêmes fonctionnalités dans la plupart des malwares.

            On remarquera aussi que c'est généralement plus facile de faire de la RE de malware que de logiciels propriétaires classiques:
            Les malwares sont rarement lourdement protégés contre la RE, et leurs fonctionnalitées restent en général assez limitées.

            Tortue 974.
            Dernière modification par TorTukiTu, 22 octobre 2013, 10h55.
            OxyGen Software
            Sécurité, développement, formations, informatique biomédicale
            [email protected]

            Commentaire


            • #7
              On peut aussi noter en plus comme outil pour faire de la RE :
              - DiffView
              - InCtrl5
              - Ressource Hacker
              - PEiD
              - Dependency Walker
              - PEview
              - TN Strings

              Et sûrement plein d'autre que je ne connais pas.

              Commentaire

              Chargement...
              X