Académique Documents
Professionnel Documents
Culture Documents
2% 4%
Pas du tout probable 17% Pas du tout capable 13%
Trs probable Trs capable
24%
Pas vraiment
Pense tre capable Pense tre
32% la future capable de
Pas vraiment
probable cible dune dtecter
APT une APT
49% 59%
Probable Capable
4% 5%
Pas du tout capable 14% Pas du tout capable 11%
Trs capable Trs capable
29%
Pense tre Pas vraiment
capable
Pense tre
24% capable de capable de
Pas vraiment
capable ragir une stopper une
APT APT russie
58% 55%
Capable Capable
67%
par Kaspersky
15%
223
nombre de jours
des victimes median de lAPT
reprsentent des avant sa
services financiers 42% dtection
Des attaques ont
t dcouvertes
par les forces de
lordre
Mandiant & Kaspersky
(Rapports 2013 & 2014)
Alain Sullam OWASP 2 mars 2015 8 55
LES GRANDES QUESTIONS
En cas dincident, on va naturellement se demander :
What does that mean? It simply means that you can throw any suspicious file at it
and in a matter of seconds Cuckoo will provide you back some detailed results
outlining what such file did when executed inside an isolated environment.
http://www.cuckoosandbox.org
( )
Anubis Sandbox *
*online
Alain Sullam OWASP 2 mars 2015 11 55
COMMENT A FONCTIONNE?
ANALYSE
AUTOMATISE
DESASSEMBLAGE CRYPTOGRAPHIE
DECOMPILATION CONNAISSANCES DES ALGOS
ASSEMBLEUR, C/C++, IDA PRO, STANDARDS ET EXOTIQUES,
HOPPER, OLLYDBG, ETC. DE LEURS IMPLMENTATIONS
ETC.
SYSTEMES PACKERS
DEXPLOITATION OBFUSCATION
FONCTIONNEMENT BAS NIVEAU,
APPELS SYSTMES, GESTION DTECTION DE PACKER,
MMOIRE, SYSTMES DE FICHIERS, UNPACKING,
REGISTRE, API WINDOWS, ETC. DSOBFUSCATION, ETC.
RESEAU ETC
CONNAISSANCES DES (ANTI-)DEBBUGING,
PROTOCOLES STANDARDS, (ANTI-)FORENSIC,
FUZZING DE PROTOCOLES, HONEYPOTTING,
CONCEPTS TCP/IP, ETC. SANDBOXING, ETC.
VS.
Analyse manuelle
approfondie
1 2 3 4 5 6
Retour au Transfert Lancement
Soumission Analyse Dmarrage
snapshot du malware du
du sample statique de la VM
clean la VM monitoring
7 8 9 10 11 12
Acquisition Analyse
Excution Arrt du Suspension
du dump du dump Reporting
du malware monitoring de la VM
mmoire rseau
Hardware :
Les prrequis habituels pour de la virtualisation (CPUs, RAM et
HDD)
Software :
Linux (Debian, Ubuntu, etc.), Windows et MacOsX possibles en
thorie.
Un hyperviseur (Thoriquement ouvert plusieurs systme mais
VirtualBox reste fortement conseill).
Python (version 2.7 fortement conseille).
SQLAlchemy, Python BSON, Tcpdump, Volatility, DPKT, Jinja2, Magic,
Pydeep, MongoDB, Pymongo, Yara, Yara Python, Libvirt, Bottlepy,
Django, Pefile, MAEC Python bindings, Chardet.
Software :
Windows XP SP3 (Windows 7, UAC dsactiv).
Logiciels tiers (Office, Adobe reader, navigateurs, etc.)
Dsactivation du firewall.
Dsactivation des mises jour automatiques.
Python 2.7 + PIL for Python.
Cuckoo agent.py (agent.pyw).
Paramtrer le rseau.
Activer le login automatique.
SNAPSHOT!
Le dump mmoire
Le reporting
Probablement un
driv de Zeus
Persistance
*\AC:\FA2\C7\YkYW.vbp
vgybhy, fvgdcf, cvfdezcvg, uhuihiuh, cvfrdsdfvc
Etc
Persistance
Rcupration du
nom de la machine
Surprenant
a sexplique
Nouvelle analyse!
Equipe scurit
SOC,
intgration infra.
CERT / CSIRT
Equipe
forensique
Prestataires
externes
Autre ? ? ? ?
Community.py:
Utilitaire pour tlcharger et installer les modules dvelopps par la
communaut.
El Jefe:
Intgration avec loutil El Jefe (dtection, rponse et traage des menaces).
http://www.cuckoosandbox.org http://docs.cuckoosandbox.org/en/latest/
https://www.packtpub.com/networking-and-servers/cuckoo-
malware-analysis
https://github.com/a0rtega/pafish
https://github.com/conix-security/zer0m0n
https://github.com/markedoe/cuckoo-sandbox
http://www.inetsim.org/
https://github.com/cuckoobox/community
https://www.paterva.com/web6/products/maltego.php
https://malwr.com/
https://eljefe.immunityinc.com/
https://github.com/idanr1986/cuckoo
https://github.com/xme/cuckoomx