Scribd Logo
Importer

Bienvenue sur Scribd !

  • 97 vues

    Table Des Matières - 978-2-409-00073-7

    Transféré par

    aze
    Ce document traite de l'identification et de l'analyse des malwares. Il présente différentes familles de malwares, des scénarios d'infection, des techniques de communication et de collecte d'informations. Il décrit ensuite la création d'un laboratoire d'analyse ainsi que diverses méthodes d'analyse de fichiers suspects.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    Table Des Matières - 978-2-409-00073-7

    Transféré par

    aze
    97 vues8 pages
    Ce document traite de l'identification et de l'analyse des malwares. Il présente différentes familles de malwares, des scénarios d'infection, des techniques de communication et de collecte d'informations. Il décrit ensuite la création d'un laboratoire d'analyse ainsi que diverses méthodes d'analyse de fichiers suspects.

    Titre original

    Table des matières_978-2-409-00073-7

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Ce document traite de l'identification et de l'analyse des malwares. Il présente différentes familles de malwares, des scénarios d'infection, des techniques de communication et de collecte d'informations. Il décrit ensuite la création d'un laboratoire d'analyse ainsi que diverses méthodes d'analyse de fichiers suspects.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    97 vues8 pages

    Table Des Matières - 978-2-409-00073-7

    Transféré par

    aze
    Ce document traite de l'identification et de l'analyse des malwares. Il présente différentes familles de malwares, des scénarios d'infection, des techniques de communication et de collecte d'informations. Il décrit ensuite la création d'un laboratoire d'analyse ainsi que diverses méthodes d'analyse de fichiers suspects.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    Vous êtes sur la page 1sur 8

    Sécurité informatique et Malwares

    Analyse des menaces et mise en oeuvre des contre-mesures (2e édition)

    Identification d'un malware

    1. Présentation des malwares par familles 9

    1.1 Introduction 9
    1.2 Backdoor 10
    1.3 Ransomware et locker 11
    1.4 Stealer 12
    1.5 Rootkit 12

    2. Scénario d'infection 14

    2.1 Introduction 14
    2.2 Scénario 1 : l'exécution d'une pièce jointe 14
    2.3 Scénario 2 : le clic malencontreux 15
    2.4 Scénario 3 : l'ouverture d'un document infecté 16
    2.5 Scénario 4 : les attaques informatiques 16
    2.6 Scénario 5 : les attaques physiques : infection par clé USB 17

    3. Techniques de communication avec le C&C 17


    3.1 Introduction 17
    3.2 Mise à jour de la liste des noms de domaine 18
    3.3 Communication via HTTP/HTTPS/FTP/IRC 18
    3.4 Communication via e-mail 19
    3.5 Communication via un réseau point à point 19
    3.6 Communication via des protocoles propriétaires 19
    3.7 Communication passive 19
    3.8 Fast flux et DGA (Domain Generation Algorithms) 20

    4. Collecte d'informations 21

    4.1 Introduction 21
    4.2 Collecte et analyse de la base de registre 22
    4.3 Collecte et analyse des journaux d'événements 24
    4.4 Collecte et analyse des fichiers exécutés au démarrage 25
    4.5 Collecte et analyse du système de fichiers 26
    4.6 Gestion des fichiers bloqués par le système d'exploitation 32

    www.editions-eni.fr © Editions ENI 1/8


    Sécurité informatique et Malwares
    Analyse des menaces et mise en oeuvre des contre-mesures (2e édition)

    4.7 Framework d'investigation inforensique 33


    4.8 Outil FastIR Collector 35

    5. Image mémoire 37
    5.1 Présentation 37
    5.2 Réalisation d'une image mémoire 38
    5.3 Analyse d'une image mémoire 41
    5.4 Analyse de l'image mémoire d'un processus 48

    6. Fonctionnalités des malwares 49

    6.1 Techniques pour rester persistant 49


    6.2 Techniques pour se cacher 51
    6.3 Malware sans fichier 55
    6.4 Contournement de l'UAC 56

    7. Mode opératoire en cas d'attaques ciblées persistantes (APT) 57

    7.1 Introduction 57
    7.2 Phase 1 : reconnaissance 58
    7.3 Phase 2 : intrusion 58
    7.4 Phase 3 : persistance 59
    7.5 Phase 4 : pivot 59
    7.6 Phase 5 : exfiltration 60
    7.7 Traces laissées par l'attaquant 60

    8. Conclusion 61

    Analyse de base

    1. Création d'un laboratoire d'analyse 63

    1.1 Introduction 63
    1.2 VirtualBox 64
    1.3 L'outil de gestion d'échantillons de malware Viper 70

    www.editions-eni.fr © Editions ENI 2/8


    Sécurité informatique et Malwares
    Analyse des menaces et mise en oeuvre des contre-mesures (2e édition)

    2. Informations sur un fichier 76


    2.1 Format d'un fichier 76
    2.2 Chaînes de caractères présentes dans un fichier 77

    3. Analyse dans le cas d'un fichier PDF 79


    3.1 Introduction 79
    3.2 Extraire le code JavaScript 79
    3.3 Désobfusquer du code JavaScript 84
    3.4 Conclusion 88

    4. Analyse dans le cas d'un fichier Adobe Flash 88

    4.1 Introduction 88
    4.2 Extraire et analyser le code ActionScript 89

    5. Analyse dans le cas d'un fichier JAR 90

    5.1 Introduction 90
    5.2 Récupération du code source depuis les classes 91

    6. Analyse dans le cas d'un fichier Microsoft Office 93

    6.1 Introduction 93
    6.2 Outils permettant l'analyse de fichiers Office 93
    6.3 Cas de malware utilisant des macros : Dridex 94
    6.4 Cas de malware utilisant une vulnérabilité 96

    7. Utilisation de PowerShell 98

    8. Analyse dans le cas d'un binaire 98

    8.1 Analyse de binaires développés en AutoIt 98


    8.2 Analyse de binaires développés avec le framework .NET 100
    8.3 Analyse de binaires développés en C ou C++ 101

    9. Le format PE 101
    9.1 Introduction 101

    www.editions-eni.fr © Editions ENI 3/8


    Sécurité informatique et Malwares
    Analyse des menaces et mise en oeuvre des contre-mesures (2e édition)

    9.2 Schéma du format PE 102


    9.3 Outils pour analyser un PE 109
    9.4 API d'analyse d’un PE 112

    10. Suivre l'exécution d'un binaire 116


    10.1 Introduction 116
    10.2 Activité au niveau de la base de registre 117
    10.3 Activité au niveau du système de fichiers 119
    10.4 Activité réseau 120
    10.5 Activité réseau de type HTTP(S) 128

    11. Utilisation de Cuckoo Sandbox 129


    11.1 Introduction 129
    11.2 Configuration 130
    11.3 Utilisation 135
    11.4 Limitations 144
    11.5 Conclusion 146

    12. Ressources sur Internet concernant les malwares 146

    12.1 Introduction 146


    12.2 Sites permettant des analyses en ligne 146
    12.3 Sites présentant des analyses techniques 151
    12.4 Sites permettant de télécharger des samples de malwares 153

    Reverse engineering

    1. Introduction 155

    1.1 Présentation 155


    1.2 Législation 156

    2. Assembleur x86 157

    2.1 Registres 157


    2.2 Instructions et opérations 162

    www.editions-eni.fr © Editions ENI 4/8


    Sécurité informatique et Malwares
    Analyse des menaces et mise en oeuvre des contre-mesures (2e édition)

    2.3 Gestion de la mémoire par la pile 169


    2.4 Gestion de la mémoire par le tas 171
    2.5 Optimisation du compilateur 172

    3. Assembleur x64 173


    3.1 Registres 173
    3.2 Paramètres des fonctions 173

    4. Analyse statique 174

    4.1 Présentation 174


    4.2 IDA Pro 175
    4.2.1 Présentation 175
    4.2.2 Navigation 178
    4.2.3 Renommages et commentaires 181
    4.2.4 Script 182
    4.2.5 Plug-ins 183
    4.3 Radare2 187
    4.3.1 Présentation 187
    4.3.2 Ligne de commande 187
    4.3.3 Interfaces graphiques non officielles 189
    4.4 Techniques d'analyse 189
    4.4.1 Commencer une analyse 189
    4.4.2 Sauts conditionnels 191
    4.4.3 Boucles 192
    4.5 API Windows 193
    4.5.1 Introduction 193
    4.5.2 API d'accès aux fichiers 194
    4.5.3 API d'accès à la base de registre 197
    4.5.4 API de communication réseau 203
    4.5.5 API de gestion des services 208
    4.5.6 API des objets COM 210
    4.5.7 Exemples de l'utilisation de l'API 211
    4.5.8 Conclusion 220
    4.6 Limites de l'analyse statique 220

    www.editions-eni.fr © Editions ENI 5/8


    Sécurité informatique et Malwares
    Analyse des menaces et mise en oeuvre des contre-mesures (2e édition)

    5. Analyse dynamique 220


    5.1 Présentation 220
    5.2 Immunity Debugger 221
    5.2.1 Présentation 221
    5.2.2 Contrôle de flux d'exécution 225
    5.2.3 Analyse d'une librairie 229
    5.2.4 Points d'arrêt 230
    5.2.5 Visualisation des valeurs en mémoire 232
    5.2.6 Copie de la mémoire 233
    5.2.7 Support du langage Python 234
    5.2.8 Conclusion 235
    5.3 WinDbg 235
    5.3.1 Présentation 235
    5.3.2 Interface 236
    5.3.3 Commandes de base 238
    5.3.4 Plug-in 243
    5.3.5 Conclusion 244
    5.4 Analyse noyau Windows 244
    5.4.1 Présentation 244
    5.4.2 Mise en place de l'environnement 244
    5.4.3 Protections kernel Windows 245
    5.4.4 Conclusion 246
    5.5 Limites de l'analyse dynamique et conclusion 246

    Techniques d'obfuscation

    1. Introduction 247

    2. Obfuscation des chaînes de caractères 249

    2.1 Introduction 249


    2.2 Cas de l'utilisation de ROT13 249
    2.3 Cas de l'utilisation de la fonction XOR avec une clé statique 252
    2.4 Cas de l'utilisation de la fonction XOR avec une clé dynamique 258

    www.editions-eni.fr © Editions ENI 6/8


    Sécurité informatique et Malwares
    Analyse des menaces et mise en oeuvre des contre-mesures (2e édition)

    2.5 Cas de l'utilisation de fonctions cryptographiques 260


    2.6 Cas de l'utilisation de fonctions personnalisées 267
    2.7 Outils permettant de décoder les chaînes de caractères 276

    3. Obfuscation de l'utilisation de l'API Windows 277


    3.1 Introduction 277
    3.2 Étude du cas Duqu 278
    3.3 Étude du cas EvilBunny 282

    4. Packers 284

    4.1 Introduction 284


    4.2 Packers utilisant la pile 286
    4.3 Packers utilisant le tas 299
    4.4 Encodeur Metasploit 308

    5. Autres techniques 310

    5.1 Anti-VM 310


    5.2 Anti-reverse engineering et anti-debug 312

    6. Conclusion 316

    Détection, confinement et éradication

    1. Introduction 317

    2. Indicateurs de compromission réseau 318

    2.1 Présentation 318


    2.2 Utilisation des proxys 319
    2.3 Utilisation des détecteurs d'intrusions 322
    2.4 Cas complexes 324

    3. Détection de fichiers 325

    3.1 Présentation 325

    www.editions-eni.fr © Editions ENI 7/8


    Sécurité informatique et Malwares
    Analyse des menaces et mise en oeuvre des contre-mesures (2e édition)

    3.2 Empreintes (ou Hash) 326


    3.3 Signatures avec YARA 328
    3.4 Signatures avec ssdeep 335

    4. Détection et éradication de malwares avec ClamAV 337


    4.1 Présentation 337
    4.2 Installation 338
    4.3 Utilisation 340

    5. Artefacts système 347

    5.1 Types d'artefacts 347


    5.2 Outils 348

    6. Utilisation d'OpenIOC 350


    6.1 Présentation 350
    6.2 Utilisation 351
    6.3 Interface graphique d'édition 352
    6.4 Détection 355

    7. Conclusion 361

    Index 363

    www.editions-eni.fr © Editions ENI 8/8

    Vous aimerez peut-être aussi