Hacking éthique : étude de malwares

[RESSOURCES ADDITIONNELLES]
Ce document note pour chaque session concernée de l’aide, des liens et des
instructions supplémentaires.

Mise en place du laboratoire de test avec Windows XP et Virtualbox

 Télécharger Windows XP Mode : https://www.microsoft.com/fr-

FR/download/details.aspx?id=8002
 Télécharger Win-Rar (nécessaire pour ouvrir des fichiers .rar sous Windows
XP) : https://www.win-rar.com/start.html?&L=10 (vous n'avez pas besoin de
l'acheter)
 Télécharger VirtualBox : https://www.virtualbox.org/wiki/Downloads

Notes pour l'installation de Virtualbox :

 Choisissez d'abord la version pour votre système (Windows hosts si vous avez
Windows par exemple).
 Vérifiez que vous avez bien les prérequis nécessaires à son installation.
 Mettez votre système à jour si besoin.
 Installez le Pack d'Extension si on vous le demande.
 Activer l'intégration automatique de la souris une fois dans VB si on vous le
demande.
 Choisissez le mode de connexion réseau par pont dans les paramètres
Virtualbox de toutes vos machines virtuelles.
 Posez vos questions ci-dessous si besoin.
 Lien vers la documentation officielle et à jour pour installer Virtualbox sous
Windows, Mac et Linux (en anglais) :
https://www.virtualbox.org/manual/ch02.html#idm856
 Manuel d'utilisateur pour Virtualbox en Français :
http://download.virtualbox.org/virtualbox/UserManual_fr_FR.pdf

Note sur l'installation de Windows XP :

Ce n'est pas un choix anodin, mais parce qu'on aura plus de facilités à effectuer
des tests de vulnérabilités sur ce système, car il n'est plus maintenu à jour et
permet donc une stabilité des explications dans le temps.

Attention, la manipulation proposée permet de lancer Windows XP sur

Virtualbox, mais l'installation officielle est uniquement supportée pour Virtual PC
sous Windows 7. Il n'y a donc pas de garantie sur l'installation ni même sur la
conformité avec la licence d'utilisation de Windows XP Mode. 
 La licence expire au bout de 30 jours. Cela signifie qu'il vous faudra soit
réinstaller entièrement Windows XP comme indiqué dans la vidéo chaque mois,
soit fournir une clé de licence valide. Il semble cependant que si vous choisissez
d'enregistrer l'état de la machine (via Virtualbox) au lieu de l'éteindre, vous
pouvez utiliser Windows XP sans limite de temps car la licence ne sera exigée
qu'au redémarrage.

La technique pour piéger les pirates et découvrir une intrusion

[IMPORTANT] Mise à jour : le service whatstheirip intialement présenté a
été arrêté... des alternatives sont proposées.

 Ressource à utiliser « piege.zip » et « Idees-de-placement-de-votre-piege.txt »

 Services cités : https://grabify.link et https://iplogger.org
 Raccourcisseur d'URL : https://goo.gl/
 Autre raccourcisseur d'URL : https://bit.ly
 Générer des informations pour les publications Facebook ou autre :
https://webcode.tools/open-graph-generator/
 Hébergement gratuit de sites : https://www.000webhost.com/
 Géolocalisation d'adresses IP : https://www.iplocation.net/

Idées de placement de vos liens pièges:

 À l'intérieur d'un document Word ou PDF sous forme de lien vers un site
quelconque.
 N'hésitez pas à éparpiller des fichiers piégés sur vos systèmes en utilisant des
mots clés comme "privé", "mot de passe", "secret", etc. Chaque fois avec un
lien différent pour savoir quelle alerte correspond à quoi.
 À l'intérieur de certaines informations privées de vos comptes en ligne que
seul vous (ou un pirate de votre compte) peut voir.
 Dans des URLs avec mots clés sensibles si vous avez un site web.
 À l'intérieur de textos vers un complice auquel vous faites croire que vous
envoyez des informations privées par SMS/MMS.

ATTENTION:

 Veuillez tester que votre piège fonctionne avant de le déployer.

 Aucune garantie n'est fournie, le service whatstheirip ou les autres étant des
services tiers (cela signifie également qu'ils peuvent disparaître du jour au
lendemain, laissant vos pièges inefficaces).
 À utiliser sous votre propre responsabilité, l'adresse IP est considérée comme
une donnée à caractère personnelle et le service ne doit pas être utilisé à des
fins malveillantes.
Exemple de Faille Informatique dans Internet Explorer

 Descriptif de la faille citée :

https://www.rapid7.com/db/modules/exploit/windows/browser/ms10_002
_aurora
 Descriptif de la faille citée (CVE) : https://cve.mitre.org/cgi-bin/cvename.cgi?
name=CVE-2010-0249
 Informations de la part de Microsoft : https://docs.microsoft.com/en-
us/security-updates/securityadvisories/2010/979352

Note : L'installation de Kali Linux avec Metasploit n'est pas traitée dans cette
vidéo. Nous vous recommandons le cours vidéo complet sur le Hacking éthique
pour connaître toutes les démarches d'installation si vous en avez besoin. Voici
tout de même le lien de téléchargement de Kali Linux :
https://www.kali.org/downloads/ (fichier ISO) ou https://www.offensive-
security.com/kali-linux-vm-vmware-virtualbox-image-download/ (fichier OVA,
recommandé)

Exemple de Faille Humaine (virus caché)

Pour en savoir plus :

 Le changement de taille d'un fichier est effectué via un logiciel appelé un "File
Pumper". Certains sont accessibles sur Internet, sous forme compilée, ou via
un code source.
 Le changement d'icône est faisable, soit avec un logiciel dédié (par exemple
IcoFx), soit via le système d'exploitation directement. Voici plus
d'informations.
 Vous trouverez des solutions tout-en-un sur le web comme le projet suivant :
https://github.com/AHXR/maskedkitty

Autre exemple de faille humaine, le faux logiciel de piratage :

https://www.leblogduhacker.fr/le-meilleur-logiciel-de-piratage/

Ralentissement des Performances de l'ordinateur

Les problèmes de performances peuvent être dus à divers soucis. Parfois il s'agit
de logiciels malveillants.

 L'outil de démonstration de problèmes de performances est disponible dans le

fichier « RalentissementPerformance.zip ».
 Sites utilisés dans la vidéo : https://www.thinkbroadband.com/download
 Utilisation du moniteur de ressources : https://docs.microsoft.com/fr-
fr/sql/relational-databases/performance-monitor/monitor-resource-usage-
system-monitor?view=sql-server-2017
Message d'alerte de connexion frauduleuse
Les messages d'alertes cités dans cette vidéo font partie des messages à prendre
avec sérieux. Ils peuvent signaler un piratage réussi.

 Lien vers votre compte Microsoft (pour définir les alertes et paramètres de
sécurité)
 L'authentification en deux étapes, exemple avec Google
 Centre de sécurité Facebook

Note : Attention à vérifier la légitimité du message d'alerte en question en vous

rendant sur les sites officiels concernés, car on pourrait vous faire CROIRE à une
connexion frauduleuse, alors qu'il n'en est rien, et que vous allez vraiment vous
faire pirater en voulant "changer votre mot de passe par sécurité" sur un site
pirate.

Modifications du navigateur et extensions Malveillantes

 Répertoire des extensions chrome :

https://chrome.google.com/webstore/category/extensions?hl=fr
 Répertoire des extensions Firefox : https://addons.mozilla.org/fr/firefox/
 Adwcleaner pour nettoyer les extensions indésirables :
https://www.malwarebytes.com/adwcleaner/
 Réinitialiser Chrome : https://support.google.com/chrome/answer/3296214?
hl=fr 
 Réinitialiser Firefox : https://support.mozilla.org/fr/kb/reinitialiser-firefox-
restaurer-modules-parametres

5 Signes directs d'une infection ou d'un piratage

 Liste d'utilitaires de sauvegarde automatiquement (via 01net)

 Tutoriel sur l'utilisation des sauvegardes automatiques de Windows 10

Historique d'un site web (récupération d'informations supprimées)

 Exemple de fichier robots.txt :

User-agent: ia_archiver
Disallow: /
  Site cité dans la vidéo : https://web.archive.org/

Analyse des programmes lancés automatiquement (Windows)

 Lien cité dans cette vidéo : https://docs.microsoft.com/en-
us/sysinternals/downloads/autoruns

Analyse des connexions réseau

 Lien cité dans cette vidéo : https://docs.microsoft.com/en-
us/sysinternals/downloads/tcpview

Analyse et vérification avancée des Processus

Liens cités dans cette vidéo :

 Process Explorer : https://docs.microsoft.com/en-

us/sysinternals/downloads/process-explorer
 Process Monitor : https://docs.microsoft.com/en-
us/sysinternals/downloads/procmon

Note additionnelle :
Dans Process Monitor, vous pouvez sauvegarder des logs d'un processus donné
(ou d'un filtre donné) dans un fichier de votre choix. Cela permet de garder une
trace après fermeture de Process Monitor. Pour ce faire, il faut d'abord
sélectionner un filtre en cliquant sur Filter -> Filter... puis choisir "Process
Name is LE_NOM_DU_PROCESSUS_CIBLE" et valider.
Puis cliquer sur File -> Backing Files... et choisir "Use file named" dans la
boite de dialogue. Ensuite, il suffit de choisir un nom de fichier log et un
emplacement, puis de valider et de redémarrer Process Monitor. Ensuite, le
fichier log sera automatiquement rempli et réutilisable à n'importe quel moment
par la suite (il s'ouvre avec Process Monitor également). Vous pouvez bien
entendu sauvegarder le fichier log sans filtres, mais il risque de devenir
conséquent...

Analyse de la RAM et des données Volatiles (partie 1)

Liens cités dans la vidéo :

 Utilitaire pour utiliser Dump it : https://sourceforge.net/projects/jumpbag/

 Volatility (version 2.5) : https://www.volatilityfoundation.org/25

Commandes Volatility citées dans la vidéo (les expressions en gras

sont à adapter à votre système/version) :
 volatility-2.5.standalone.exe imageinfo -f WINDOWSXP-
XXXXXXXX-XXXXXX.raw (affiche des informations sur le système utilisé dans la
capture .raw)

volatility-2.5.standalone.exe -f WINDOWSXP-XXXXXXXX-
XXXXXX.raw -h (affiche l'aide, les commandes utilisables)

volatility-2.5.standalone.exe malfind -p 1288 -f WINDOWSXP-

XXXXXXXX-XXXXXX.raw (affiche des informations sur les .DLL potentiellement
malveillantes pour le processus de pid 1288)

Analyse de la RAM et des données Volatiles (partie 2)

Liens cités dans la vidéo :

 Exemple de Dumps mémoire à analyser avec Volatility :

https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples &
https://www.honeynet.org/challenges/2010_3_banking_troubles

Commandes Volatility citées dans la vidéo (les expressions en gras

sont à adapter) :

volatility-2.5.standalone.exe connections -f WINDOWSXP-

XXXXXXXX-XXXXXX.raw (affiche les connexions actives au moment du dump)

volatility-2.5.standalone.exe userassist -f WINDOWSXP-

XXXXXXXX-XXXXXX.raw (affiche les derniers programmes exécutés)

volatility-2.5.standalone.exe shellbags -f WINDOWSXP-

XXXXXXXX-XXXXXX.raw (affiche les derniers fichiers ouverts/utilisés)

volatility-2.5.standalone.exe clipboard -f WINDOWSXP-

XXXXXXXX-XXXXXX.raw (affiche les données dans le presse-papier)

volatility-2.5.standalone.exe notepad -f WINDOWSXP-XXXXXXXX-

XXXXXX.raw (affiche le texte tapé dans le Bloc Notes)

L'outil d'investigation numérique Autopsy

Cette vidéo introduit l'outil d'investigation numérique Autospy.
Voici le lien de téléchargement :
 https://www.sleuthkit.org/autopsy/download.php
Son but est d'assister l'utilisateur dans l'analyse forensique du système en
permettant de mettre en valeur les types de données populaire et d'y appliquer
des analyses précises (compatible avec tous les systèmes populaires).

Introduction à l'Analyse de Malwares

 https://malshare.com/
 https://virusshare.com/
 https://github.com/ytisf/theZoo

Démonstration et étude d'un keylogger sous Windows

 Code source présent dans le dossier et appelé « Etude-de-Keylogger.zip »

 Télécharger Visual Studio Community :
https://visualstudio.microsoft.com/fr/downloads/

Avertissement Antivirus et Lancement du Keylogger dans la machine virtuelle XP

 Téléchargez le Framework .NET 3.5 pour Windows XP ici :

https://www.microsoft.com/fr-fr/download/details.aspx?id=21

Déobfuscation de programme .NET

 Utiliser les fichiers « de4dot.zip » et « Deobfuscation.zip » dans cette session

Analyse Statique avec .NET Reflector et ILSpy

 Téléchargez ici .NET Reflector (essai gratuit) : https://www.red-

gate.com/products/dotnet-development/reflector/index
 Appfuscator : http://appfuscator.com/en/obfuscation/
 Alternative Gratuite à .NET Reflector : https://github.com/icsharpcode/ILSpy

Analyse statique avec Strings.exe

 Télécharger Strings.exe : https://docs.microsoft.com/en-

us/sysinternals/downloads/strings
Format PE (Portable executable) et informations sur les fichiers

 Lien de téléchargement vers PEStudio :

https://www.winitor.com/binaries.html
 Lien de téléchargement vers PEViewer :
https://www.adlice.com/fr/download/roguekillerpe/#download

Analyse Dynamique avec JoeSandbox

 Analyse Joesandbox : https://www.joesandbox.com/analysis/33336/0/html

 Malwr.com : https://malwr.com
 https://www.virustotal.com

Etude d'un "Cheval de Troie" avec Wireshark

Comme précisé précédemment dans ce cours, le Cheval de Troie est ici un abus de
langage, on devrait parler du RAT (Remote Administration Tool) qui permet de
prendre le contrôle d'un ordinateur à distance.

 Téléchargez Wireshark ici : https://www.wireshark.org/download/win32/all-

versions/ 
 Le fichier « EtudedeTrojan.zip » est également utilisable.