Malware analysis for incident responders

C’est quoi un malware : c’est la combinaison de 2 mots (malicious software), c’est tout code,
changé ou enlevé d’un software, pour intentionnellement causer des disfonctionnements ou
mettre hors d’état d’usage un système.

Les Symptômes d’un malware : si votre machine devient de plus en plus lente cela pourrait
être le signe de la présence d’un malware dans votre système ou tout simplement du
vieillissement de votre machine. Un autre symptôme pourrait être l’exécution de
programme inconnu sur la machine (les .exe pour windows). Un autre symptôme pourrait
aussi être des configurations étranges sur notre machine (ex le changement de la page
d’accueil de notre navigateur). Un autre symptôme pourrait être la génération de trafic
réseau non attendu (ex la commande netstat de windows, nous montre toute les connexions
éffectuées sur la machine). La présence de po-up-pop aléatoire pourrait aussi être un signe
de présence de malware sur le système.

Types de malware :
- Virus : les virus sont des malwares attachés à des fichiers dans le but de les
corrompre, ils sont capables de se dupliquer (faire des copies d’eux même),
nécessite la présence d’un fichier pour pouvoir l’infecter, mais le plus important
pour qu’un virus puisse s’exécuter est le facteur humain (en cliquant sur un lien,
ouvrant un fichier ou encore une pièce jointe dans un email). Ex de virus
CryptoLocker, Stuxnet,Nimda.
- Worm : est un type de virus qui se répliquer tout seul et se propager sur le réseau
dans des emails, sans l’intervention de l’utilisateur, contrairement aux virus
classiques il n’a pas besoin de s’attacher à des fichiers. Ex le vers Samy (vers xss),
le vers skype, stuxnet, le vers autorun.
- Trojan : est un programme qui prétend être un programme légitime mais en
réalité un programme malicieux. Ce malware pousse l’utilisateur à l’installer lui-
même de part sa nature malicieuse, il ne peut pas se répliquer comme les virus et
les vers, ne peut pas non plus d’autres malware dans le système (du moins
directement). Socket23, Vundo, Flashback, ZeroAccess, Zeus (domaine bancaire).
- Backdoor : est un type de malware qui donne un accès non autorisé à un
utilisateur malveillant, il est très difficile à détecter, cet accès peut être distant.
- Hacking tools : ces outils permettent à un hacker d’obtenir un accès non autorisé
à votre système, l’on peut citer Cain&Able, Metasploit, John The Ripper.
- Spyware : les logiciels espions sont des malwares qui s’installent à l’insu de
l’utilisateur, ils permettent de collecter des informations sur l’utilisateur de la
machine et monitorer les activités de ce dernier (ex keylogger).
- Rootkit : ce sont des types de malware qui se cachent dans d’autres applications,
utilisent les fichiers des systèmes d’opérations pour se cacher tel que les registres
et les process, très difficile à détecter et détruire d’un système.
- Rogue applications : les applications malveillantes, sont des malwares, qui se
comportent comme de vraies applications mais sont en réalité des applications
conçues pour tromper la vigilance des utilisateurs, ex les fenêtres de pop-up-pop.
 - Ranssomware : malware, qui chiffre toutes les données d’une machine voire
l’intégralité du disque et demande une rançon et échange de la clé de
déchiffrement. Se propage généralement via des pièces jointes.

Infection vectors :
- Boot sector : certains malwares infectant le MBR (Master Boot Record) du disque
dur, cela permet à ces malwares de définir l’ordre de boot lors du démarrage du
système, ils infectent la machine au niveau du BIOS, c’est le cas des rootkit, ces
malwares sont très difficiles à détecter car ils agissent directement au niveau du
boot donc impossible à voir par les antivirus (ex au lieu de boot sur le disque dur
normal, la machine bootera sur un disque malveillant inconnu de l’utilisateur).
- File infection : ici l’on parle, de virus, vers, macros et autres malwares pouvant se
propager. Les macros sont des bouts de code qui peuvent être embarqués dans
des fichiers word, excel ou powerpoint.
- Les emails : l’un des plus gros moyens de propagation qui existe à ce jour, les vers
se propagent à travers le protocole SMTP.
- File share : utilisé pour la propagation des virus, vers et macros.
- L réseau : propagation sur le réseau à travers divers protocoles.
- Removable media : cd, dvd ; media cards, usb device.
- Web application: cross-site scripting, sql injection.

Malware Analysis: nous analysons les menaces afin d’apprendre davantage sur le
comportement de celles-ci dans le but de développer des indicateurs de compromission
(IoC).
Il existe 2 types d’analyse : l’analyse statique et l’analyse dynamique.

- Analyse statique :
Le but ici est d’analyser chaque bout de code du malware dans un environnement non-
runtime (environnement autre que celui de production), cette analyse nécessite des
compétences en langage de programmation. Lorsque l’on veut analyser statiquement un
malware, l’on n’a pas accès à son code source généralement il se présente sous la forme
hexadécimal et ASCII, que l’on peut onc traduire en code source via des applications open
source telles que : visual code grepper, yasca, owasp lapse+, rips. Pour ce qui est des
solutions commerciales l’on a : ida pro et ida free, vercode (SaaS model), coverity, hp fortify
sca, parasoft. Ces différents outils vont décompiler le code le ramener en langage
assembleur.

- Analyse dynamique :
Contrairement à l’analyse statique, l’un des objectifs ici si ce n’est le principal est de
déterminer l’impact d’un malware sur le système, pour cela il faudra reprendre le malware
et l’exécuter dans un environnement contrôlé tel que sur une machine virtuelle, pour
analyser l’étendu des dégâts du malware, en regardant les différents changements effectués
sur les fichiers système, les registres, les processus, et le réseau. Les outils open source
utilisé dans l’analyse dynamique : FlareVM by Fireeye, Procmon (windows processes),
Cuckoo Sandbox (Windows binaries), Panda (CPU architectures), Droibox (Android
applications), PhoneyC (Virtual client honeypot). Pour les commercial tools on a : Veracode
(SaaS model), CodeDynamics (C/C++), ClearSQL (oracle PL/SQL), PurifyPlus
(Reliability/performance analysis).