Nous avons couvert l'analyse dynamique des logiciels malveillants en analysant et en comparant les changements et modifications effectués sur le registre à l'aide de Regshot. Cela faisait partie de Analyse dynamique des logiciels malveillants de base TryHackMe.

Obtenir des notes d'investigation informatique

Qu'est-ce qu'un bac à sable ?

L’analyse des logiciels malveillants s’apparente à un jeu du chat et de la souris. Les analystes des logiciels malveillants continuent de concevoir de nouvelles techniques pour analyser les logiciels malveillants, tandis que les auteurs de logiciels malveillants conçoivent de nouvelles techniques pour échapper à la détection.

Il a été souligné que les logiciels malveillants ne devraient être analysés que dans un environnement contrôlé, idéalement une machine virtuelle. Toutefois, cela devient de plus en plus important pour l’analyse dynamique des logiciels malveillants. La principale préoccupation concernant l’analyse statique des logiciels malveillants dans un environnement réel est une exécution accidentelle, mais nous exécutons intentionnellement des logiciels malveillants dans un scénario d’analyse dynamique. Il est donc d’autant plus important de garantir que les logiciels malveillants sont analysés dans un environnement sandbox.

Alors, que faut-il pour créer un bac à sable ?

D'une manière générale, la configuration suivante sera requise pour créer un bac à sable :

  • Une machine isolée, idéalement une machine virtuelle, qui n'est pas connectée aux systèmes en direct ou de production et qui est dédiée à l'analyse des logiciels malveillants.
  • Capacité de la machine isolée ou virtuelle à conserver son état initial de nettoyage et à revenir à cet état une fois l'analyse des logiciels malveillants terminée. Cette fonctionnalité est souvent appelée création et restauration d'un instantané. Nous devrons revenir à l’état propre d’origine avant d’analyser un nouveau malware afin que l’infection du malware précédent ne contamine pas l’analyse du suivant.
  • Des outils de surveillance qui nous aident à analyser le malware pendant son exécution dans la machine virtuelle. Ces outils peuvent être automatisés, comme nous le voyons dans les bacs à sable automatisés, ou ils peuvent être manuels, obligeant l'analyste à interagir lors de l'analyse. Nous découvrirons certains de ces outils plus tard dans la salle.
  • Un mécanisme de partage de fichiers qui peut être utilisé pour introduire le malware dans la machine virtuelle et nous envoyer les données d'analyse ou les rapports. Souvent, des répertoires partagés ou des lecteurs réseau sont utilisés à cette fin. Cependant, nous devons faire attention à ce que le répertoire partagé soit démonté lors de l'exécution du malware, car celui-ci pourrait infecter tous les fichiers. Cela est particulièrement vrai pour les ransomwares, qui peuvent chiffrer tous les lecteurs ou répertoires partagés.

Dans le Introduction à l'analyse des logiciels malveillants salle, nous avons découvert certains bacs à sable automatisés pour aider à effectuer une analyse dynamique. Ci-dessous, nous découvrirons quelques outils pour nous aider à créer notre bac à sable, ce qui nous donne plus de contrôle sur l'analyse. Alors commençons.

Virtualisation

De nombreux outils commerciaux et gratuits sont disponibles pour la virtualisation. Certains des plus célèbres incluent VirtualBox d'Oracle et Player and Workstation de VMware. Ces trois outils nous permettent de créer des Machines Virtuelles isolées de notre machine locale. Cependant, VMWare Player ne peut pas créer d'instantanés. Pour l'analyse dynamique des logiciels malveillants, la création d'instantanés est une exigence essentielle, ce qui rend VMWare Player inadapté à l'analyse des logiciels malveillants. VMWare Workstation et VirtualBox disposent de l'option de création d'instantanés et conviennent donc à l'analyse des logiciels malveillants. VirtualBox est gratuit, mais VMWare Workstation dispose d'une licence payante.

En dehors de cela, les logiciels de virtualisation basés sur serveur comme XenServer, QEmu, ESXi, etc. facilitent la virtualisation sur un serveur dédié. Ce type de configuration est souvent utilisé par les entreprises pour leurs besoins de virtualisation. Les organismes de recherche en sécurité utilisent souvent des technologies similaires pour créer un Machine virtuelle ferme pour la virtualisation à grande échelle.

Pour la portée de cette salle, nous sauterons l'étape de création d'un Machine virtuelle et y installer un système d'exploitation. Veuillez noter que le système d'exploitation de la VM doit être le même que le système d'exploitation cible du malware pour une analyse dynamique. Dans la plupart des scénarios, il s'agira du système d'exploitation Windows. Nous couvrirons les outils liés au système d'exploitation Windows dans cette salle.

Outils d'analyse

Une fois que nous avons un Machine virtuelle avec le système d'exploitation installé, nous avons besoin de quelques outils d'analyse sur la VM. Les systèmes automatisés d’analyse des logiciels malveillants disposent d’outils intégrés qui analysent le comportement des logiciels malveillants. Par exemple, dans le bac à sable de Cuckoo, cuckoomon est un outil qui enregistre l'activité des logiciels malveillants dans une configuration de bac à sable de Cuckoo. Dans les tâches à venir, nous découvrirons certains outils permettant d'effectuer une analyse dynamique manuelle des logiciels malveillants. Une fois que nos outils requis sont installés sur la VM et avant d’exécuter un malware sur la VM, nous devons prendre un instantané. Après analyse de chaque malware, nous devons restaurer la VM à cet instantané, qui conservera l'état propre de la VM. Cela garantira que notre analyse n’est pas contaminée par différents échantillons de logiciels malveillants exécutés simultanément.

Partage de fichiers

Différentes plates-formes offrent différentes options de partage de fichiers entre l'hôte et l'invité Système d'exploitation. Dans les outils les plus populaires, c'est-à-dire Oracle VirtualBox ou VMWare Workstation, les options suivantes sont courantes :

  • Dossier partagé.
  • Créer une image ISO dans l'hôte et la monter sur le Machine virtuelle.
  • Copier et coller dans le presse-papiers.

En dehors de celles-ci, il existe d'autres options moins courantes, par exemple l'exécution d'un serveur Web sur l'invité où des échantillons de logiciels malveillants peuvent être téléchargés ou le montage d'un lecteur amovible sur la machine virtuelle. Veuillez noter que plus l'option de partage de fichiers est isolée, plus elle sera sûre pour le système d'exploitation hôte. Outre le partage de logiciels malveillants avec le Machine virtuelle, l'option de partage de fichiers est également utilisée pour extraire les rapports d'analyse de la VM.

Une fois que nous avons créé un Machine virtuelle, configurez les outils d'analyse, prenez un instantané et placez le malware dans notre bac à sable, nous pouvons commencer à analyser notre malware. Dans la tâche suivante, nous découvrirons les outils pour nous aider.

Réponses de la salle

Si un analyste souhaite analyser un malware Linux, quel système d'exploitation la machine virtuelle de son sandbox doit-elle avoir ?
Surveiller l'échantillon ~Bureau\Exemples\1.exe en utilisant ProcMon. Cet exemple établit quelques connexions réseau. Quelle est la première URL sur laquelle une connexion réseau est établie ?

Quelle opération réseau est effectuée sur l’URL mentionnée ci-dessus ?

Quel est le nom avec le chemin complet du premier processus créé par cet exemple ?

L'échantillon ~Bureau\exemples\1.exe crée un fichier dans le C:\ annuaire. Quel est le nom et le chemin complet de ce fichier ?

Quoi API est utilisé pour créer ce fichier ?

Dans la question 1 de la tâche précédente, nous avons identifié une URL vers laquelle une connexion réseau a été établie. Quoi API l'appel a été utilisé pour établir cette connexion ?

Nous avons remarqué dans la tâche précédente qu'après un certain temps, l'activité de l'échantillon ralentissait de telle sorte que peu de choses étaient rapportées sur l'échantillon. Pouvez-vous regarder le API appels et voir quel appel d'API pourrait en être responsable ?

Quel est le nom du premier Mutex créé par l’exemple ~Desktop\samples\1.exe ? S'il y a des chiffres dans le nom du Mutex, remplacez-les par X.

Le dossier est-il signé par un organisme connu ? Répondez par Y pour Oui et N pour Non.

Le processus en mémoire est-il le même que celui sur le disque ? Répondez par Y pour Oui et N pour Non.

Analyser l'échantillon ~Bureau\Exemples\3.exe en utilisant Regshot. Une valeur de registre a été ajoutée qui contient le chemin de l'exemple au format HKU\SXX-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXX-XXX\. Quel est le chemin de cette valeur après le format mentionné ici ?

Vidéo pas à pas

, , ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles