Nous avons couvert l'analyse dynamique des logiciels malveillants à l'aide de l'explorateur de processus pour découvrir les DLL, les descripteurs, la consommation de ressources, l'activité réseau et pour découvrir les techniques courantes de logiciels malveillants telles que le creusement de processus et le masquage de processus. Cela faisait partie de Analyse dynamique de base TryHackMe

Obtenir des notes d'investigation informatique

Process Explorer est un autre outil très utile de la suite Sysinternals. Il peut être considéré comme une forme plus avancée du Gestionnaire des tâches de Windows. Process Explorer est un outil très puissant qui peut nous aider à identifier les techniques de creusement et de masquage des processus.

Masquage de processus

Les auteurs de logiciels malveillants utilisent parfois des noms de processus similaires à ceux de Windows ou à des logiciels couramment utilisés pour se cacher des regards indiscrets des analystes. L'onglet « Image », comme indiqué dans la capture d'écran ci-dessus, aide un analyste à vaincre cette technique. En cliquant sur le bouton « Vérifier » de cet onglet, un analyste peut identifier si l'exécutable du processus en cours est signé par l'organisation concernée, qui sera Microsoft dans le cas des binaires Windows. Dans cette capture d'écran particulière, nous pouvons voir que l'option Vérifier a déjà été cliquée. De plus, nous pouvons voir le texte « (Aucune signature n'était présente dans le sujet) Microsoft Corporation » en haut. Cela signifie que même si l'exécutable prétend provenir de Microsoft, il n'est pas signé numériquement par Microsoft et se fait passer pour un processus Microsoft. Cela peut être le signe d’un processus malveillant.

Il faut noter ici que ce processus de vérification ne s'applique qu'à l'image du processus stockée sur le disque. Si un processus signé a été évidé et que son code a été remplacé par du code malveillant dans la mémoire, nous pouvons toujours obtenir une signature vérifiée pour ce processus. Pour identifier les processus creux, il faut chercher ailleurs.

Processus de creusement

Une autre technique utilisée par les logiciels malveillants pour se cacher à la vue de tous est le Process Hollowing. Dans cette technique, le binaire du malware détruit un processus légitime déjà en cours d'exécution en supprimant tout son code de sa mémoire et en injectant du code malveillant à la place du code légitime. De cette façon, tandis qu’un analyste détecte un processus légitime, ce processus exécute le code malveillant de l’auteur du malware. Process Explorer peut également nous aider à identifier cette technique. Lorsque nous sélectionnons 'Image', Process Explorer nous montre les chaînes présentes dans l'image disque du processus. Lorsque « Mémoire » est sélectionné, Process Explorer extrait les chaînes de la mémoire du processus. Dans des circonstances normales, les chaînes de l'image d'un processus seront similaires à celles de la mémoire puisque le même processus est chargé dans la mémoire. Cependant, si un processus a été évidé, nous verrons une différence significative entre les chaînes dans l'image et la mémoire du processus. Nous montrant ainsi que le processus chargé dans la mémoire est très différent du processus stocké sur le disque.

Réponses de la salle

Si un analyste souhaite analyser un malware Linux, quel système d'exploitation la machine virtuelle de son sandbox doit-elle avoir ?
Surveiller l'échantillon ~Bureau\Exemples\1.exe en utilisant ProcMon. Cet exemple établit quelques connexions réseau. Quelle est la première URL sur laquelle une connexion réseau est établie ?

Quelle opération réseau est effectuée sur l’URL mentionnée ci-dessus ?

Quel est le nom avec le chemin complet du premier processus créé par cet exemple ?

L'échantillon ~Bureau\exemples\1.exe crée un fichier dans le C:\ annuaire. Quel est le nom et le chemin complet de ce fichier ?

Quoi API est utilisé pour créer ce fichier ?

Dans la question 1 de la tâche précédente, nous avons identifié une URL vers laquelle une connexion réseau a été établie. Quoi API l'appel a été utilisé pour établir cette connexion ?

Nous avons remarqué dans la tâche précédente qu'après un certain temps, l'activité de l'échantillon ralentissait de telle sorte que peu de choses étaient rapportées sur l'échantillon. Pouvez-vous regarder le API appels et voir quel appel d'API pourrait en être responsable ?

Quel est le nom du premier Mutex créé par l’exemple ~Desktop\samples\1.exe ? S'il y a des chiffres dans le nom du Mutex, remplacez-les par X.

Le dossier est-il signé par un organisme connu ? Répondez par Y pour Oui et N pour Non.

Le processus en mémoire est-il le même que celui sur le disque ? Répondez par Y pour Oui et N pour Non.

Analyser l'échantillon ~Bureau\Exemples\3.exe en utilisant Regshot. Une valeur de registre a été ajoutée qui contient le chemin de l'exemple au format HKU\SXX-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXX-XXX\. Quel est le chemin de cette valeur après le format mentionné ici ?

Vidéo pas à pas

, , ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles