Article précédent
Méthodes d’authentification - Description, usages et enjeuxArticle de référence | Réf : H5335 v1
Auteur(s) : Franck VEYSSET, Laurent BUTTI
Date de publication : 10 oct. 2009
Article suivant
Cyberespionnage : la menace APTCet article fait partie de l’offre
Sécurité et gestion des risques (464 articles en ce moment)
Cette offre vous donne accès à :
Une base complète et actualisée d'articles validés par des comités scientifiques
Un service Questions aux experts et des outils pratiques
Des Quiz interactifs pour valider la compréhension et ancrer les connaissances
Quitter la lecture facile
Les analystes de malwares ont la tâche ardue du fait du nombre sans cesse croissant de malwares qui se propagent sur Internet. Parmi ceux-ci, les bots sont très bien représentés ! Des outils sont nécessaires pour automatiser au mieux l'analyse des malwares afin d'identifier certains comportements suspicieux ou certaines souches de malwares.
Nous proposons dans ce chapitre de présenter deux techniques disponibles au grand public pour réaliser des analyses simples d'exécutables suspicieux récupérés sur Internet. Bien que cela soit souvent réalisé à des fins de recherche sur les malwares et autres botnets, cela peut tout de même se révéler utile dans certains cas pour des utilisateurs « normaux ».
Une première méthode – plutôt simple – est de réaliser une analyse par une batterie d'antivirus disponible et d'en récupérer les résultats. Un service gratuit et en ligne est fourni par la société VirusTotal. Cela est bien utile pour identifier des binaires suspects. Il ne faut surtout pas oublier qu'un antivirus est très facilement contournable par tout un ensemble de techniques (obfuscation, chiffrement, polymorphisme...) mais qu'il reste tout de même utile pour identifier des signatures de logiciels malveillants bien connus.
Une deuxième méthode – plus compliquée – est de réaliser une analyse dynamique en se reposant sur des « sandbox » publiques qui auront pour tâche de tracer le comportement de l'exécutable suspect et de résumer son comportement sur des aspects critiques (lecture/écriture dans la base de registre, lancement de processus, activité réseau...).
Pour exemple, nous avons donc utilisé ces techniques sur des binaires qui ont été récupérés sur des pots de miel ayant simulé une compromission au point de récupérer le binaire malveillant. À noter que ces binaires datent d'environ deux ans et sont donc représentatifs de l'activité botnet de l'époque.
Grâce à la figure 14, nous constatons que malgré l'ancienneté du malware, le taux de détection par les différents antivirus disponibles dans VirusTotal n'atteint pas 100 %. Cela prouve encore une fois que les antivirus sont très perfectibles...
La figure 15 présente les types de rapport d'analyse disponibles grâce à la sandbox Anubis, comme les rapports en HTML ou PDF et une trace...
Vous êtes abonné à cette offre ?
Connectez-vous !
Vous souhaitez découvrir cette offre ?
Cet article est inclus dans l'offre :
SÉCURITÉ ET GESTION DES RISQUES
Le spam.
Shadowserver Foundation, une équipe de chercheurs observant les activités illicites sur l'internet http://www.shadowserver.org
Secure Works – Étude sur les relations entre les Botnets et le SPAM http://www.secureworks.com/research/threats/topBotnets/
[Storm Worm]
Peacomm.C – Cracking the nutshell http://www.reconstructer.org/papers.html
Wikipedia – Overnet http://en.wikipedia.org/wiki/Overnet
Wikipedia – Kademlia http://en.wikipedia.org/wiki/Kademlia http://www.usenix.org/event/leet08/tech/full_papers/holz/
Botnet communication over Twitter, Reddit, social web http://compsci.ca/blog/Botnet-communication-over-twitter-reddit-social-web/
Pirated Windows 7 OS Comes With Trojan, Builds A Botnet http://www.darkreading.com/security/client/showArticle.jhtml;jsessionid=IKOBTRQ3ISVXIQSNDLRSKH0CJUNN2JVN?articleID=217400548
Anubis : Analyzing Unknown Binaries http://anubis.iseclab.org/
Bypassing Browser Memory Protections http://www.phreedom.org/research/bypassing-browser-memory-protections/bypassing-browser-memory-protections.pdf
http://www.generation-nt.com/bbc-achat-botnet-experience-spam-ddos-actualite-247511.html
...
DÉTAIL DE L'ABONNEMENT :
TOUS LES ARTICLES DE VOTRE RESSOURCE DOCUMENTAIRE
Accès aux :
Articles et leurs mises à jour
Nouveautés
Archives
Articles interactifs
Formats :
HTML illimité
Versions PDF
Site responsive (mobile)
Info parution :
Toutes les nouveautés de vos ressources documentaires par email
DES ARTICLES INTERACTIFS
Articles enrichis de quiz :
Expérience de lecture améliorée
Quiz attractifs, stimulants et variés
Compréhension et ancrage mémoriel assurés
DES SERVICES ET OUTILS PRATIQUES
Votre site est 100% responsive, compatible PC, mobiles et tablettes.
FORMULES
| Formule monoposte | Autres formules | |
|---|---|---|
| Ressources documentaires | ||
| Consultation HTML des articles | Illimitée | Illimitée |
| Quiz d'entraînement | Illimités | Illimités |
| Téléchargement des versions PDF | 5 / jour | Selon devis |
| Accès aux archives | Oui | Oui |
| Info parution | Oui | Oui |
| Services inclus | ||
| Questions aux experts (1) | 4 / an | Jusqu'à 12 par an |
| Articles Découverte | 5 / an | Jusqu'à 7 par an |
| Dictionnaire technique multilingue | Oui | Oui |
|
(1) Non disponible pour les lycées, les établissements d’enseignement supérieur et autres organismes de formation. |
||
| DEMANDER UN DEVIS | ||
Information
Quiz d'entraînement bientôt disponible
