24/04/2015
Thinking Innovations
MALWARE ANALYSIS
Speaker : FATHI Mohamed Ali C|EH C|HFI v8
Thinking Innovations FATHI Moha...
24/04/2015
Thinking Innovations
It.solunium@gmail.com
http://test-intrusion.blogspot.com
https://github.com/it-solunium
ht...
24/04/2015
INTRODUCTION
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Thinking Innovations FATHI Mohamed Ali C|EH C...
24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
INTRODUCTION
Etat de l’art
Actuellement, les Hackers trava...
24/04/2015
CyberMap
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
World Cyber Attacks
CyberMapKaspersky
Source : ht...
24/04/2015
CyberMapIP Viking
Source : http://map.ipviking.com Date : 07/04/2015
Thinking Innovations FATHI Mohamed Ali C|E...
24/04/2015
Hacking2014 Attackers focusing on
older Vulnerabilities
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
An...
24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Etude de cas : STUXNET
Présentation de STUXNET
Thinking In...
24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Etude de cas : STUXNET
Vecteur d’attaque principal (Les su...
24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Etude de cas : STUXNET
Installation durable
3ème vulnérabi...
24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Etude de cas : STUXNET
Attaque des systèmes industriels ?
...
24/04/2015
MalwareDyre Wolf (03/04/2015)
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Source : http://thehackernew...
24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Définitions
Qu’est-ce qu’un Malware ?
Malicious code is “a...
24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Définitions
Pourquoi faire de l’analyse de Malware ?
Mais ...
24/04/2015
Méthodologie
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
For Malware Analysis
Thinking Innovations FAT...
24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Méthodologie
Analyse statique basique
Analyse
statique
bas...
24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Méthodologie
Analyse statique avancée
1- Déssasembleur.
2-...
24/04/2015
Outils
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
For Malware Analysis
Thinking Innovations FATHI Moh...
24/04/2015
Pour allez plus loin
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Working hard !!!
Malware Analysis
Boo...
24/04/2015
Ethical Hacking
Security Policy Review
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
NEXUS 5
Merci pour ...
Prochain SlideShare
Chargement dans…5
×

Malware Analysis par Mohamed Ali FATHI - BSides Algiers 2k15

869 vues

Publié le

Aujourd'hui les Logiciels malveillants sont une menace sérieuse de la sécurité des systèmes d’information, spécialement les malware jamais vus avant.
L'objectif de cette conférence est de venir en aide aux professionnels de la sécurité de l’information (Response team, forensic investigator, …) afin d’aborder efficacement ce genre de menace, elle servira de guide pour faire de l'analyse de Malware en fournissant : des définitions, des techniques, des outils à utiliser, une méthodologie et surtout des exemples et études de cas du monde réel.

Publié dans : Internet
0 commentaire
3 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
869
Sur SlideShare
0
Issues des intégrations
0
Intégrations
15
Actions
Partages
0
Téléchargements
30
Commentaires
0
J’aime
3
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Malware Analysis par Mohamed Ali FATHI - BSides Algiers 2k15

  1. 1. 24/04/2015 Thinking Innovations MALWARE ANALYSIS Speaker : FATHI Mohamed Ali C|EH C|HFI v8 Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
  2. 2. 24/04/2015 Thinking Innovations It.solunium@gmail.com http://test-intrusion.blogspot.com https://github.com/it-solunium https://twitter.com/itsolunium WHOAMI CONTACT CERTIFICATIONS (En sécurité) Directeur des systèmes d’information chez un groupe Industriel pharmaceutique. Ethical Hacker & Computer Hacking Forensic Investigator https://www.linkedin.com/in/fathimedali Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 AGENDA(Avril – Mai 2015) 11/04/2015 15h Speaker Ethical Hacking Lieu : USTHB 18/04/2015 09h Speaker Malware Analysis Lieu : ESI 09/05/2015 ? Speaker Windows Kerberos (The Black days)
  3. 3. 24/04/2015 INTRODUCTION Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 INTRODUCTION Statistiques (2014) 317MILLIONSDe nouveaux Malwares sont créés en 2014 Ce qui équivaut à 1 million de Malware par jour Source : Symantec's analysis of security threats in 2014 http://money.cnn.com/2015/04/14/technology/security/cyber-attack-hacks-security/
  4. 4. 24/04/2015 Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 INTRODUCTION Etat de l’art Actuellement, les Hackers travaillent plus rapidement comparant à la vitesse à laquelle les entreprises se protègent. Et ils lancent plus d’attaques malveillantes par rapport aux années précédentes. Source : Symantec's analysis of security threats in 2014 http://money.cnn.com/2015/04/14/technology/security/cyber-attack-hacks-security/ Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 INTRODUCTION “There are two kinds of big companies in the United States: those who’ve been hacked and those who don’t yet know that they’ve been hacked.” Ben Godard Full time ethical hacker on the Microsoft Office 365 red Team
  5. 5. 24/04/2015 CyberMap Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 World Cyber Attacks CyberMapKaspersky Source : http://cybermap.kaspersky.com Date : 07/04/2015 Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
  6. 6. 24/04/2015 CyberMapIP Viking Source : http://map.ipviking.com Date : 07/04/2015 Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 CyberMapDDOS Attacks Source : http://map.ipviking.com Date : 07/04/2015 Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
  7. 7. 24/04/2015 Hacking2014 Attackers focusing on older Vulnerabilities Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Anciennes tendances Vs Nouvelles tendances Source: HP Cyber Risk Report 2015 http://www.tripwire.com/state-of-security/ latest-security-news/report-nearly-half-of-known -attacks-leverage-old-vulnerabilities/ Etude de cas Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 STUXNET
  8. 8. 24/04/2015 Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Etude de cas : STUXNET Présentation de STUXNET Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Etude de cas : STUXNET Les vecteurs d’attaques !
  9. 9. 24/04/2015 Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Etude de cas : STUXNET Vecteur d’attaque principal (Les supports de stockage amovibles) Première vulnérabilité MS10-046 Structure d’un fichier .LNK Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Etude de cas : STUXNET Vecteurs d’attaque additionnels (Le réseau) Deuxième vulnérabilité MS10-061 Deuxième vulnérabilité MS10-061 Imprimer (Ecrire) des fichiers dans le répertoire %SYSTEM% L’exploitation se fait en deux phases : 1) Ecrire les fichiers winsta.exe et sysnullevnt.mof dans les dossiers systèmes. 2) L’exécution du fichier de script sysnullevnt.mof.
  10. 10. 24/04/2015 Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Etude de cas : STUXNET Installation durable 3ème vulnérabilité MS10-073 Le driver Win32k.sys est responsable de la gestion du clavier Un index est chargé depuis une librairie partagée. Exécution de code. Vulnérabilité qui cible Windows 2000 et XP. Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Etude de cas : STUXNET Installation durable Cinquième vulnérabilité MS10-092 Spécifications de l’enregistrement des tâches: 1- La tâche est stockée dans un simple fichier XML. 2- Ce fichier est enregistré dans : « %SystemRoot%system32Tasks » 3- Le fichier XML en question n’est accessible et modifiable que par la personne qui l’a ajouté. 4- Ce fichier contient les informations sur l’utilisateur qui l’a créé et le niveau de privilèges requis pour l’exécuter. 5- Ce fichier est protégé lors de son exécution par une empreinte CRC32. Elévation de privilèges Vulnérabilité qui cible Windows Vista, 7 et 2008.
  11. 11. 24/04/2015 Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Etude de cas : STUXNET Attaque des systèmes industriels ? Interceptions des communications entre le PLC et WinCC SCENARIO RECENT Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Transactions bancaires frauduleuses
  12. 12. 24/04/2015 MalwareDyre Wolf (03/04/2015) Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Source : http://thehackernews.com/2015/04/dyre-wolf-banking-malware.html Analyse de l’attaque : 1- Spear phishing. 2- Lancement du Downloader. 3- Téléchargement & lancement du Malware. + Propagation. 4- Connexion à un portail de banque modifié. (Améliorations) 5- Appel téléphonique. 9- Extraction des données. 6- Transfert d’argent. 7- DDos attaque sur le portail de la banque. Définitions Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 About Malware Analysis
  13. 13. 24/04/2015 Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Définitions Qu’est-ce qu’un Malware ? Malicious code is “any code added, changed, or removed from a software system to intentionally cause harm or subvert the system’s intended function” (McGraw and Morisett, 2000, p. 33). Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Définitions Pourquoi faire de l’analyse de Malware ? Afin de (recenser|inventorier) les damages causés à l’organisation suite à une infection. Découvrir et cataloguer des indicateurs De compromission afin de détecter d’autres infections où de propagation. Identifier la où les vulnérabilités exploitées qui ont mené à la présence du Malware. Identifier si le responsable de l’attaque est un Insider où Intruder .
  14. 14. 24/04/2015 Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Définitions Pourquoi faire de l’analyse de Malware ? Mais aussi déterminer le niveau de sophistication de l’auteur du Malware. Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Définitions Pourquoi faire de l’analyse de Malware ? TechniqueMétier * Quel est l’objectif de ce Malware ? * Comment il est arrivé là ? * Qui est entrain de nous cibler ? * Comment je peux m’en débarrasser ? * Qu’est-ce qu’on m’a volé ? * Combien de temps qu’il est là ? * Comment puis-je le trouver sur d’autres machines ? * Comment m’en protéger à l’avenir ? * Quelle sont les indicateur Network & Host based qui le révèle ? * Est-il persistant ? * Quand a-t-il était écrit, compilé et installé ? * Est-il basé sur un outil connu ? * Avec quel langage de programmation l’a-t- on écrit? * Packed? Anti-Debugging ? Rootkit ? L’analyse de Malware est l’action de prendre à part le Malware pour l’étudier.
  15. 15. 24/04/2015 Méthodologie Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 For Malware Analysis Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Méthodologie Etapes à suivre ! Analyse statique basique Analyse dynamique statique Analyse statique avancée Analyse dynamique avancée
  16. 16. 24/04/2015 Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Méthodologie Analyse statique basique Analyse statique basique 1- Antivirus scanning 2- Hashing : Une empreinte pour le Malware 3- Trouver des chaines de caractères. 4- Détection des Packers & de l’obfuscation de code. 5- Enumération des DLL & fontions. Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Méthodologie Analyse dynamique basique 1- Mise en place d’un laboratoire virtuel. 2- Exécution du Malware. 3- Monitoring avec Process monitor. 4- Afficher les processus (Process Explorer). 5- Comparer les snapshots du registre. 6- Simuler un réseau. 7- Packet sniffing. Analyse dynamique statique
  17. 17. 24/04/2015 Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Méthodologie Analyse statique avancée 1- Déssasembleur. 2- Reconnaitre les Codes Constructs. 3- Analyser un code malveillant sous Windows. Analyse statique avancée Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Méthodologie Analyse dynamique avancée Le débogage. Analyse dynamique avancée
  18. 18. 24/04/2015 Outils Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 For Malware Analysis Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Outils Distribution REMnux
  19. 19. 24/04/2015 Pour allez plus loin Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Working hard !!! Malware Analysis Books Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Malware Analyst’s Cookbook & DVD ME : Wiling Publishing Inc Practical Malware Analysis ME : No strach Press Cuckoo Malware Analysis ME : Packt
  20. 20. 24/04/2015 Ethical Hacking Security Policy Review Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 NEXUS 5 Merci pour votre attention Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8 Q&A

×