SlideShare une entreprise Scribd logo
541Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
Cuckoo Sandbox
Analyse de malwares automatisée
Alain Sullam – Journée stratégique 2015 - CLUSIS
542Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
AGENDA
• Les entreprises face aux malwares / APT
• Cuckoo sandbox, c’est quoi?
• Analyse manuelle vs. automatisée
• L’architecture de Cuckoo Sandbox et ses prérequis
• La configuration
• Points importants de la virtualisation et du sandboxing
• Demo et reporting
• Etendre et/ou intégrer Cuckoo Sandbox
• Conclusion
• (Bonus) un peu de visualisation
• (Bonus) Pour aller plus loin…
• Questions
543Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
544Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
QUELQUES CHIFFRES…
LA PERCEPTION
32%
Pas vraiment
probable
2%
Pas du tout probable
49%
Probable
17%
Très probable
13%
Très capable
59%
Capable
4%
Pas du tout capable
24%
Pas vraiment
capablePense être
la future
cible d’une
APT
Pense être
capable de
détecter
une APT
– Isaca APT survey report, 2014
545Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
QUELQUES CHIFFRES (CONT’D)…
LA PERCEPTION
24%
Pas vraiment
capable
4%
Pas du tout capable
58%
Capable
14%
Très capable
11%
Très capable
55%
Capable
5%
Pas du tout capable
29%
Pas vraiment
capablePense être
capable de
réagir à une
APT
Pense être
capable de
stopper une
APT réussie
– Isaca APT survey report, 2014
546Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
547Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
67%des victimes ont été averties
par une entité tierces/externe
12%des attaques
étaient des
attaques ciblées
15%
des victimes
représentent des
services financiers
223nombre de jours
median de l’APT
avant sa
détection
325’000nombre de nouveaux
fichiers malicieux
découverts par jour
par Kaspersky
42%
Des attaques ont
été découvertes
par les forces de
l’ordre
QUELQUES CHIFFRES…
LES STATISTIQUES
– Mandiant & Kaspersky
(Rapports 2013 & 2014)
548Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
LES GRANDES QUESTIONS…
En cas d’incident, on va naturellement se demander :
• Quels fichiers (locaux ou non) ont été accédés, créés,
supprimés?
• Y-a-t-il eu des communications réseaux, et si oui,
lesquelles (internes, externes, multiples, ponctuelles,
permanentes, etc.)?
• En cas de communications réseaux, quels sont leurs
buts / contenus (spamming, (D)DOS, exfiltration de
données, etc.) et leurs destinations?
• Est-ce une attaque ciblée ou opportuniste?
• Est-ce une attaque persistante ou non?
• Quel est le périmètre de compromission?
• …
549Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
CUCKOO SANDBOX,C’EST QUOI?
In three words, Cuckoo Sandbox is a malware analysis system.
What does that mean? It simply means that you can throw any suspicious file at it
and in a matter of seconds Cuckoo will provide you back some detailed results
outlining what such file did when executed inside an isolated environment.
– http://www.cuckoosandbox.org
• Analyse automatique de fichiers suspicieux
• Génération automatisée de rapports (détaillés)
• Dans un environnement «sandboxé»
5410Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
OPEN SOURCEVS.PRODUITS COMMERCIAUX
( )
Anubis Sandbox
*online
*
*
*
5411Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
EXÉCUTABLESWINDOWS
COMMENT ÇA FONCTIONNE?
FICHIERS DLL
DOCUMENTS PDF
DOCUMENTS MICROSOFT
OFFICE
URLS ET FICHIERS
HTML
SCRIPTS PHP,VBS
FICHIERS CPL,ZIP,JAR ET
PRESQUE N’IMPORTE
QUOI D’AUTRE…
RAPPORTS SOUS DIFFÉRENTS
FORMATS
TRACES DES APPELS
WIN32
FICHIERS CRÉÉS,
MODIFIÉS, EFFACÉS,
TÉLÉCHARGÉS
DUMP DU PROCESS ANALYSÉ
TRACES RÉSEAU AU
FORMAT PCAP
CAPTURES D’ÉCRAN
DURANT L’EXÉCUTION
DUMP MÉMOIRE COMPLET
DE LA MACHINE,RÉSULTATS
VIRUSTOTAL,ETC…
ANALYSE
AUTOMATISÉE
5412Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
DESASSEMBLAGE
DECOMPILATION
ASSEMBLEUR,C/C++, IDA PRO,
HOPPER,OLLYDBG,ETC.
SYSTEMES
D’EXPLOITATION
FONCTIONNEMENT BAS NIVEAU,
APPELS SYSTÈMES,GESTION
MÉMOIRE, SYSTÈMES DE FICHIERS,
REGISTRE,APIWINDOWS, ETC.
RESEAU
CONNAISSANCES DES
PROTOCOLES STANDARDS,
FUZZING DE PROTOCOLES,
CONCEPTS TCP/IP,ETC.
CRYPTOGRAPHIE
CONNAISSANCES DES ALGOS
STANDARDS ET EXOTIQUES,
DE LEURS IMPLÉMENTATIONS
ETC.
PACKERS
OBFUSCATION
DÉTECTION DE PACKER,
UNPACKING,
DÉSOBFUSCATION, ETC.
ETC…
(ANTI-)DEBBUGING,
(ANTI-)FORENSIC,
HONEYPOTTING,
SANDBOXING, ETC.
L’ANALYSE MANUELLE
LES COMPÉTENCES REQUISES
5413Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
ANALYSE MANUELLEVS.AUTOMATISÉE
VS.
5414Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
ANALYSE MANUELLEVS.AUTOMATISÉE
ReportingAcquisition
soumission
Analyse
statique
Analyse
dynamique
Analyse
mémoire
Analyse
réseau
Analyse manuelle
approfondie
5415Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
ARCHITECTURE
Internet /
Sinkhole / Aucune
connexion
Réseau virtuel
Hôte Cuckoo
- Hyperviseur
- Démarre l’analyse
- Dump le trafic
- Génère les rapports
VM cibles
- environnement à
infecter et à analyser
VM analysée N°1
VM analysée N°2
VM analysée N°...
5416Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
ARCHITECTURE
Cuckoo main server
Cuckoo web server
Cuckoo web service (REST)
Internet
Sinkhole / Simu.
Windows
Agent.py
Applications tierces
Etendre Cuckoo:
 Maltego
 El Jefe
 Etc...
Utilisateur
Cuckoo
Sandbox VM
Intégrer Cuckoo dans l’infrastructure:
 CuckooMX
 El Jefe
 SOC
 CERT, CSIRT
 Etc...
5417Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
FLUX D’EXÉCUTION
Soumission
du sample
1
Analyse
statique
2
Retour au
snapshot
clean
3
Démarrage
de la VM
4
Transfert
du malware
à la VM
5
Lancement
du
monitoring
6
Exécution
du malware
7
Arrêt du
monitoring
8
Suspension
de la VM
9
Acquisition
du dump
mémoire
10
Analyse
du dump
réseau
11
Reporting
12
5418Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
PRÉREQUIS (HÔTE)
Hardware :
• Les prérequis habituels pour de la virtualisation (CPU’s, RAM et
HDD)
Software :
• Linux (Debian, Ubuntu, etc.), Windows et MacOsX possibles en
théorie.
• Un hyperviseur (Théoriquement ouvert à plusieurs système mais
VirtualBox reste fortement conseillé).
• Python (version 2.7 fortement conseillée).
• SQLAlchemy, Python BSON, Tcpdump, Volatility, DPKT, Jinja2, Magic,
Pydeep, MongoDB, Pymongo, Yara, Yara Python, Libvirt, Bottlepy,
Django, Pefile, MAEC Python bindings, Chardet.
5419Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
PRÉREQUIS OBLIGATOIRES (GUEST)
vHardware :
• Les prérequis habituels pour de la virtualisation (CPU’s, RAM et
HDD).
Software :
• Windows XP SP3 (Windows 7, UAC désactivé).
• Logiciels tiers (Office, Adobe reader, navigateurs, etc.)
• Désactivation du firewall.
• Désactivation des mises à jour automatiques.
• Python 2.7 + PIL for Python.
• Cuckoo agent.py (agent.pyw).
• Paramétrer le réseau.
• Activer le login automatique.
• SNAPSHOT!
5420Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
LA CONFIGURATION
6 fichiers de configuration principaux :
• cuckoo.conf : Configuration générale et options d’analyse.
• auxiliary.conf : Configuration des modules auxiliaires
(ex: capture réseau).
• <machinery>.conf : Configuration de la virtualisation.
• memory.conf : Configuration de l’analyse mémoire
(Volatility framework).
• processing.conf : Activation / désactivation des étapes
d’analyse.
• reporting.conf : Configuration du reporting.
5421Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
QUELQUES POINTS IMPORTANTS
Un environnement isolé n’est que rarement sûr à 100%:
• Cuckoo Sandbox (Evasion) : http://cuckoosandbox.org/2014-10-07-
cuckoo-sandbox-111.html
• Oracle VirtualBox : CVE-2014-4261, CVE-2014-4228, CVE-2014-2489,
etc…
• Instructions CPU non virtualisables, offloading (interface réseau)
Lors de l’attribution de l’accès internet au malware, attention aux
infections sur le LAN:
• Solution (partielle) : Simulation de services réseau (ex : InetSim)
Un environnement sandboxé et/ou virtualisé peut être détecté par
certains malwares:
• Test : Pafish https://github.com/a0rtega/pafish
• Solution (partielle) : Zer0m0n ou Markedoe + tweak(s) manuel(s)…
5422Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
ANTI DÉTECTION :VM
5423Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
ANTI DÉTECTION :VM + CUCKOO
5424Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
DÉTECTION :VM + CUCKOO + TWEAKING
5425Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
DEMOLa facture Zalando
5426Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
5427Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
5428Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
5429Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
5430Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
La capture réseau
Les fichiers créés / droppés
Le dump mémoire
Le reporting
Les captures d’écran
5431Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
LE REPORTING
Super, mais j’aime pas les lignes de commandes…
5432Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
CARACTÉRISTIQUES DU FICHIER
5433Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
LES SIGNATURES
Communications réseau
Sandboxing détecté !!!
Persistance
Probablement un
dérivé de Zeus
5434Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
L’ANALYSE STATIQUE
Quelques chaînes de caractères intéressantes :
• *AC:FA2C7YkYW.vbp
• vgybhy, fvgdcf, cvfdezcvg, uhuihiuh, cvfrdsdfvc
• Etc…
5435Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
LES FICHIERS CRÉÉS / DROPPÉS
5436Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
L’ANALYSE DYNAMIQUE
Exécution d’opérations
au démarrage ou
persistance
Persistance
Récupération du
nom de la machine
5437Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
L’ANALYSE RÉSEAU
Surprenant…
Ça s’explique…
5438Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
ONVÉRIFIE L’HISTORIQUE…
Encore plus surprenant…
5439Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
RETWEAKING DE LAVM
• Désinstallation des VirtualBox guest tools.
• Nettoyage du registre (références à
VirtualBox).
• Nettoyage des fichiers résiduels (références
à VirtualBox).
• Modifications des drivers.
Nouvelle analyse!
5440Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
NOUVELLES SIGNATURES
Ne détecte plus VirtualBox.
5441Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
TOUT DE SUITE PLUS BAVARD…
5442Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
AUTRES FORMATS DE REPORTING
JSON MAEC XML
5443Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
5444Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
CUCKOO SANDBOX,OÙ ET QUAND?
PRÉVENTIF
(LEVÉE DE DOUTE)
RÉACTIF
(INCIDENT
RESPONSE)
POST-MORTEM
(ANALYSE
FORENSIQUE)
THREAT
INTELLIGENCE
(IOC, SIGNATURES)
Equipe sécurité
SOC,
intégration infra.
CERT / CSIRT
Equipe
forensique
Prestataires
externes
Autre… ? ? ? ?
Appréciations complètement subjectives…
5445Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
CONCLUSION
• Ne demande pas des connaissances aussi pointues que pour
l’analyse manuelle.
• La qualité de l’analyse dépend fortement de la capacité
d’interprétation des résultats.
• L’environnement Cuckoo + VM peut être détectable par
certains malwares.
• La globalité du code du malware ne sera très probablement
pas totalement exécutée.
• Comporte toujours un risque (débordement du sandboxing,
LAN, etc.)…
• Très bonne documentation.
• Communauté très active autour du produit.
• Automatisable et intégrable au sein d’une architecture.
5446Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
BONUSUn peu de visualisation
avec Maltego
5447Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
UN PEU DEVISUALISATION - MALTEGO
5448Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
UN PEU DEVISUALISATION - MALTEGO
5449Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
UN PEU DEVISUALISATION - MALTEGO
5450Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
UN PEU DEVISUALISATION - MALTEGO
5451Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
UN PEU DEVISUALISATION - MALTEGO
5452Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
POUR ALLER PLUS LOIN…
Malwr:
• Version online gratuite de Cuckoo Sandbox.
• Parfait pour des tests de malwares «communs».
• Attention à la confidentialité!!!
• Pas de possibilité de récupérer les dumps mémoire et réseau.
Cuckoo Android Extension:
• Support de l’émulateur Android ARM pour exécuter des APK’s et des URL.
Community.py:
• Utilitaire pour télécharger et installer les modules développés par la
communauté.
El Jefe:
• Intégration avec l’outil El Jefe (détection, réponse et traçage des menaces).
5453Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
QUESTIONS
5454Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
MERCI!
http://www.cuckoosandbox.org
Alain Sullam
• http://docs.cuckoosandbox.org/en/latest/
• https://www.packtpub.com/networking-and-servers/cuckoo-
malware-analysis
• https://github.com/a0rtega/pafish
• https://github.com/conix-security/zer0m0n
• https://github.com/markedoe/cuckoo-sandbox
• http://www.inetsim.org/
• https://github.com/cuckoobox/community
• https://www.paterva.com/web6/products/maltego.php
• https://malwr.com/
• https://eljefe.immunityinc.com/
• https://github.com/idanr1986/cuckoo
• https://github.com/xme/cuckoomx
sysinsider41 [at] gmail.com
https://ch.linkedin.com/in/alainsullam
https://github.com/sysinsider
Quelques références utiles:

Contenu connexe

Tendances

Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
PECB
 
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE - ATT&CKcon
 
ATT&CKcon Intro
ATT&CKcon IntroATT&CKcon Intro
ATT&CKcon Intro
MITRE ATT&CK
 
tutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatiquetutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatique
Manuel Cédric EBODE MBALLA
 
Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseau
Rabeb Boumaiza
 
Le Pare-feu: Limites, Performances et Meilleures Pratiques
Le Pare-feu: Limites, Performances et Meilleures PratiquesLe Pare-feu: Limites, Performances et Meilleures Pratiques
Le Pare-feu: Limites, Performances et Meilleures Pratiques
Mohamed Sabra
 
WiFi site survey report example - Acrylic heatmaps software
WiFi site survey report example -  Acrylic heatmaps softwareWiFi site survey report example -  Acrylic heatmaps software
WiFi site survey report example - Acrylic heatmaps software
atarasco
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étude
HibaFarhat3
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Saadaoui Marwen
 
graylog.pptx
graylog.pptxgraylog.pptx
graylog.pptx
emnabenamor3
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
Mohammed Zaoui
 
Rapport pfe isi_Big data Analytique
Rapport pfe isi_Big data AnalytiqueRapport pfe isi_Big data Analytique
Rapport pfe isi_Big data Analytique
Yosra ADDALI
 
Rapport du stage
Rapport du stageRapport du stage
Rapport du stage
ibrahim daoudi
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
Alghajati
 
Security Onion - Brief
Security Onion - BriefSecurity Onion - Brief
Security Onion - Brief
Ashley Deuble
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
PECB
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Mohammed LAAZIZLI
 

Tendances (20)

Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
 
ATT&CKcon Intro
ATT&CKcon IntroATT&CKcon Intro
ATT&CKcon Intro
 
tutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatiquetutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatique
 
Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseau
 
Le Pare-feu: Limites, Performances et Meilleures Pratiques
Le Pare-feu: Limites, Performances et Meilleures PratiquesLe Pare-feu: Limites, Performances et Meilleures Pratiques
Le Pare-feu: Limites, Performances et Meilleures Pratiques
 
WiFi site survey report example - Acrylic heatmaps software
WiFi site survey report example -  Acrylic heatmaps softwareWiFi site survey report example -  Acrylic heatmaps software
WiFi site survey report example - Acrylic heatmaps software
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étude
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
graylog.pptx
graylog.pptxgraylog.pptx
graylog.pptx
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Rapport pfe isi_Big data Analytique
Rapport pfe isi_Big data AnalytiqueRapport pfe isi_Big data Analytique
Rapport pfe isi_Big data Analytique
 
Rapport du stage
Rapport du stageRapport du stage
Rapport du stage
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
Security Onion - Brief
Security Onion - BriefSecurity Onion - Brief
Security Onion - Brief
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 

En vedette

Business Strategic Analysis of RyanAir
Business Strategic Analysis of RyanAirBusiness Strategic Analysis of RyanAir
Business Strategic Analysis of RyanAir
Udara Seneviratne
 
Analyse stratégique du secteur des SmartWorkCenter : le cas Euptouyou
Analyse stratégique du secteur des  SmartWorkCenter : le cas EuptouyouAnalyse stratégique du secteur des  SmartWorkCenter : le cas Euptouyou
Analyse stratégique du secteur des SmartWorkCenter : le cas Euptouyou
shapers.xyz
 
Strategic analysis & planning for NGOs engl
Strategic analysis & planning for NGOs englStrategic analysis & planning for NGOs engl
Strategic analysis & planning for NGOs engl
regiosuisse
 
présentation de starbucks
présentation de starbucks présentation de starbucks
présentation de starbucks
Anass Elhabti Idrissi
 
Suntech Solar Strategic Analysis
Suntech Solar Strategic AnalysisSuntech Solar Strategic Analysis
Suntech Solar Strategic Analysis
Teo Tertel
 
Bertrand Meslier Analyse Stratégique Tf1
Bertrand Meslier Analyse Stratégique Tf1Bertrand Meslier Analyse Stratégique Tf1
Bertrand Meslier Analyse Stratégique Tf1
Bertrand Meslier
 
Google case study
Google case studyGoogle case study
Google case study
pellat
 
Strategie militaire
Strategie militaireStrategie militaire
Strategie militaire
Jarrosson Bruno
 
Analyse strategique
Analyse strategiqueAnalyse strategique
Marché drone civil professionnel : Point de situation et principales levées d...
Marché drone civil professionnel : Point de situation et principales levées d...Marché drone civil professionnel : Point de situation et principales levées d...
Marché drone civil professionnel : Point de situation et principales levées d...
Antoni AUDINET
 
Analyse stratégique 7UP et Philip Morris
Analyse stratégique 7UP et Philip MorrisAnalyse stratégique 7UP et Philip Morris
Analyse stratégique 7UP et Philip Morris
David Metge
 
Étude de cas "Havaianas"
Étude de cas "Havaianas"Étude de cas "Havaianas"
Étude de cas "Havaianas"
Charles BENIGNO
 
FBS ESCEM - Analyse Stratégique VEOLIA 2013
FBS ESCEM - Analyse Stratégique VEOLIA 2013FBS ESCEM - Analyse Stratégique VEOLIA 2013
FBS ESCEM - Analyse Stratégique VEOLIA 2013
HubertMalgat
 
Presentation de Lego
Presentation de LegoPresentation de Lego
Presentation de Lego
Nicolas ODIN
 
Analyse Stratégique : SHAZAM
Analyse Stratégique : SHAZAMAnalyse Stratégique : SHAZAM
Analyse Stratégique : SHAZAM
Léa Lescou
 
Stratégie entreprise cegos
Stratégie entreprise cegosStratégie entreprise cegos
Stratégie entreprise cegos
Mahmoud BEN TAHAR
 
Strategic Analysis - Sanofi Aventis
Strategic Analysis - Sanofi AventisStrategic Analysis - Sanofi Aventis
Strategic Analysis - Sanofi Aventis
Bruno Rakotozafy
 
Analyse strategique
Analyse strategiqueAnalyse strategique
Analyse strategique
Amira Askira
 

En vedette (20)

Business Strategic Analysis of RyanAir
Business Strategic Analysis of RyanAirBusiness Strategic Analysis of RyanAir
Business Strategic Analysis of RyanAir
 
Analyse stratégique du secteur des SmartWorkCenter : le cas Euptouyou
Analyse stratégique du secteur des  SmartWorkCenter : le cas EuptouyouAnalyse stratégique du secteur des  SmartWorkCenter : le cas Euptouyou
Analyse stratégique du secteur des SmartWorkCenter : le cas Euptouyou
 
Strategic analysis & planning for NGOs engl
Strategic analysis & planning for NGOs englStrategic analysis & planning for NGOs engl
Strategic analysis & planning for NGOs engl
 
présentation de starbucks
présentation de starbucks présentation de starbucks
présentation de starbucks
 
Suntech Solar Strategic Analysis
Suntech Solar Strategic AnalysisSuntech Solar Strategic Analysis
Suntech Solar Strategic Analysis
 
Bertrand Meslier Analyse Stratégique Tf1
Bertrand Meslier Analyse Stratégique Tf1Bertrand Meslier Analyse Stratégique Tf1
Bertrand Meslier Analyse Stratégique Tf1
 
Google case study
Google case studyGoogle case study
Google case study
 
Strategie militaire
Strategie militaireStrategie militaire
Strategie militaire
 
Analyse strategique
Analyse strategiqueAnalyse strategique
Analyse strategique
 
Marché drone civil professionnel : Point de situation et principales levées d...
Marché drone civil professionnel : Point de situation et principales levées d...Marché drone civil professionnel : Point de situation et principales levées d...
Marché drone civil professionnel : Point de situation et principales levées d...
 
Analyse stratégique 7UP et Philip Morris
Analyse stratégique 7UP et Philip MorrisAnalyse stratégique 7UP et Philip Morris
Analyse stratégique 7UP et Philip Morris
 
Étude de cas "Havaianas"
Étude de cas "Havaianas"Étude de cas "Havaianas"
Étude de cas "Havaianas"
 
FBS ESCEM - Analyse Stratégique VEOLIA 2013
FBS ESCEM - Analyse Stratégique VEOLIA 2013FBS ESCEM - Analyse Stratégique VEOLIA 2013
FBS ESCEM - Analyse Stratégique VEOLIA 2013
 
Analyse stratégique
Analyse stratégique Analyse stratégique
Analyse stratégique
 
Presentation de Lego
Presentation de LegoPresentation de Lego
Presentation de Lego
 
Analyse Stratégique : SHAZAM
Analyse Stratégique : SHAZAMAnalyse Stratégique : SHAZAM
Analyse Stratégique : SHAZAM
 
Stratégie entreprise cegos
Stratégie entreprise cegosStratégie entreprise cegos
Stratégie entreprise cegos
 
Analyse strategique
Analyse strategiqueAnalyse strategique
Analyse strategique
 
Strategic Analysis - Sanofi Aventis
Strategic Analysis - Sanofi AventisStrategic Analysis - Sanofi Aventis
Strategic Analysis - Sanofi Aventis
 
Analyse strategique
Analyse strategiqueAnalyse strategique
Analyse strategique
 

Similaire à Introduction to malware analysis with Cuckoo Sandbox

Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Jean-Baptiste Guerraz
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
SecludIT
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Skilld
 
Le «Cloud computing »: Hype passager ou tendance lourde?P-Roberge
Le «Cloud computing »: Hype passager ou tendance lourde?P-Roberge Le «Cloud computing »: Hype passager ou tendance lourde?P-Roberge
Le «Cloud computing »: Hype passager ou tendance lourde?P-Roberge
nst2011
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
michelcusin
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
SecludIT
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
Microsoft
 
Inria Tech Talk : Respect des données personnelles avec PlugDB
Inria Tech Talk : Respect des données personnelles avec PlugDBInria Tech Talk : Respect des données personnelles avec PlugDB
Inria Tech Talk : Respect des données personnelles avec PlugDB
Stéphanie Roger
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
Geeks Anonymes
 
Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6
Christophe Rochefolle
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
PRONETIS
 
Infonuagique retour d'expérience
 Infonuagique   retour d'expérience Infonuagique   retour d'expérience
Infonuagique retour d'expérience
Claude Coulombe
 
Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des services
GARRIDOJulien
 
Etude Uima Gate Open Nlp
Etude Uima Gate Open NlpEtude Uima Gate Open Nlp
Etude Uima Gate Open Nlp
RadwenAniba
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
ASIP Santé
 
Snort
SnortSnort
Snort
TchadowNet
 
Comment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODComment sécuriser une démarche BYOD
Comment sécuriser une démarche BYOD
Marc Rousselet
 
Introduction à la veille sur le web
Introduction à la veille sur le webIntroduction à la veille sur le web
Introduction à la veille sur le web
Quentin Adam
 

Similaire à Introduction to malware analysis with Cuckoo Sandbox (20)

Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
 
Données en ligne
Données en ligneDonnées en ligne
Données en ligne
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
 
Le «Cloud computing »: Hype passager ou tendance lourde?P-Roberge
Le «Cloud computing »: Hype passager ou tendance lourde?P-Roberge Le «Cloud computing »: Hype passager ou tendance lourde?P-Roberge
Le «Cloud computing »: Hype passager ou tendance lourde?P-Roberge
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
 
Inria Tech Talk : Respect des données personnelles avec PlugDB
Inria Tech Talk : Respect des données personnelles avec PlugDBInria Tech Talk : Respect des données personnelles avec PlugDB
Inria Tech Talk : Respect des données personnelles avec PlugDB
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 
Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
 
Infonuagique retour d'expérience
 Infonuagique   retour d'expérience Infonuagique   retour d'expérience
Infonuagique retour d'expérience
 
Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des services
 
Etude Uima Gate Open Nlp
Etude Uima Gate Open NlpEtude Uima Gate Open Nlp
Etude Uima Gate Open Nlp
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
 
Snort
SnortSnort
Snort
 
Comment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODComment sécuriser une démarche BYOD
Comment sécuriser une démarche BYOD
 
Introduction à la veille sur le web
Introduction à la veille sur le webIntroduction à la veille sur le web
Introduction à la veille sur le web
 

Dernier

Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
Maalik Jallo
 
procede de fabrication mecanique et industriel
procede de fabrication mecanique et industrielprocede de fabrication mecanique et industriel
procede de fabrication mecanique et industriel
saadbellaari
 
Lae-ac1-5_english-fraançais_qins italy.pdf
Lae-ac1-5_english-fraançais_qins italy.pdfLae-ac1-5_english-fraançais_qins italy.pdf
Lae-ac1-5_english-fraançais_qins italy.pdf
djelloulbra
 
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptx
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptxCours d'Intelligence Artificielle et Apprentissage Automatique.pptx
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptx
Jacques KIZA DIMANDJA
 
Technologie hydrostatique, innovation pour la stérilisation des aliments : HI...
Technologie hydrostatique, innovation pour la stérilisation des aliments : HI...Technologie hydrostatique, innovation pour la stérilisation des aliments : HI...
Technologie hydrostatique, innovation pour la stérilisation des aliments : HI...
InnovaSter-Trade Ltd.
 
Meetup LFUG : Cahier de vacances Liferay
Meetup LFUG : Cahier de vacances LiferayMeetup LFUG : Cahier de vacances Liferay
Meetup LFUG : Cahier de vacances Liferay
Sébastien Le Marchand
 
Introduction à Crossplane (Talk Devoxx 2023)
Introduction à Crossplane (Talk Devoxx 2023)Introduction à Crossplane (Talk Devoxx 2023)
Introduction à Crossplane (Talk Devoxx 2023)
Adrien Blind
 

Dernier (7)

Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
 
procede de fabrication mecanique et industriel
procede de fabrication mecanique et industrielprocede de fabrication mecanique et industriel
procede de fabrication mecanique et industriel
 
Lae-ac1-5_english-fraançais_qins italy.pdf
Lae-ac1-5_english-fraançais_qins italy.pdfLae-ac1-5_english-fraançais_qins italy.pdf
Lae-ac1-5_english-fraançais_qins italy.pdf
 
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptx
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptxCours d'Intelligence Artificielle et Apprentissage Automatique.pptx
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptx
 
Technologie hydrostatique, innovation pour la stérilisation des aliments : HI...
Technologie hydrostatique, innovation pour la stérilisation des aliments : HI...Technologie hydrostatique, innovation pour la stérilisation des aliments : HI...
Technologie hydrostatique, innovation pour la stérilisation des aliments : HI...
 
Meetup LFUG : Cahier de vacances Liferay
Meetup LFUG : Cahier de vacances LiferayMeetup LFUG : Cahier de vacances Liferay
Meetup LFUG : Cahier de vacances Liferay
 
Introduction à Crossplane (Talk Devoxx 2023)
Introduction à Crossplane (Talk Devoxx 2023)Introduction à Crossplane (Talk Devoxx 2023)
Introduction à Crossplane (Talk Devoxx 2023)
 

Introduction to malware analysis with Cuckoo Sandbox

  • 1. 541Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 Cuckoo Sandbox Analyse de malwares automatisée Alain Sullam – Journée stratégique 2015 - CLUSIS
  • 2. 542Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 AGENDA • Les entreprises face aux malwares / APT • Cuckoo sandbox, c’est quoi? • Analyse manuelle vs. automatisée • L’architecture de Cuckoo Sandbox et ses prérequis • La configuration • Points importants de la virtualisation et du sandboxing • Demo et reporting • Etendre et/ou intégrer Cuckoo Sandbox • Conclusion • (Bonus) un peu de visualisation • (Bonus) Pour aller plus loin… • Questions
  • 3. 543Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  • 4. 544Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 QUELQUES CHIFFRES… LA PERCEPTION 32% Pas vraiment probable 2% Pas du tout probable 49% Probable 17% Très probable 13% Très capable 59% Capable 4% Pas du tout capable 24% Pas vraiment capablePense être la future cible d’une APT Pense être capable de détecter une APT – Isaca APT survey report, 2014
  • 5. 545Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 QUELQUES CHIFFRES (CONT’D)… LA PERCEPTION 24% Pas vraiment capable 4% Pas du tout capable 58% Capable 14% Très capable 11% Très capable 55% Capable 5% Pas du tout capable 29% Pas vraiment capablePense être capable de réagir à une APT Pense être capable de stopper une APT réussie – Isaca APT survey report, 2014
  • 6. 546Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  • 7. 547Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 67%des victimes ont été averties par une entité tierces/externe 12%des attaques étaient des attaques ciblées 15% des victimes représentent des services financiers 223nombre de jours median de l’APT avant sa détection 325’000nombre de nouveaux fichiers malicieux découverts par jour par Kaspersky 42% Des attaques ont été découvertes par les forces de l’ordre QUELQUES CHIFFRES… LES STATISTIQUES – Mandiant & Kaspersky (Rapports 2013 & 2014)
  • 8. 548Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LES GRANDES QUESTIONS… En cas d’incident, on va naturellement se demander : • Quels fichiers (locaux ou non) ont été accédés, créés, supprimés? • Y-a-t-il eu des communications réseaux, et si oui, lesquelles (internes, externes, multiples, ponctuelles, permanentes, etc.)? • En cas de communications réseaux, quels sont leurs buts / contenus (spamming, (D)DOS, exfiltration de données, etc.) et leurs destinations? • Est-ce une attaque ciblée ou opportuniste? • Est-ce une attaque persistante ou non? • Quel est le périmètre de compromission? • …
  • 9. 549Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 CUCKOO SANDBOX,C’EST QUOI? In three words, Cuckoo Sandbox is a malware analysis system. What does that mean? It simply means that you can throw any suspicious file at it and in a matter of seconds Cuckoo will provide you back some detailed results outlining what such file did when executed inside an isolated environment. – http://www.cuckoosandbox.org • Analyse automatique de fichiers suspicieux • Génération automatisée de rapports (détaillés) • Dans un environnement «sandboxé»
  • 10. 5410Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 OPEN SOURCEVS.PRODUITS COMMERCIAUX ( ) Anubis Sandbox *online * * *
  • 11. 5411Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 EXÉCUTABLESWINDOWS COMMENT ÇA FONCTIONNE? FICHIERS DLL DOCUMENTS PDF DOCUMENTS MICROSOFT OFFICE URLS ET FICHIERS HTML SCRIPTS PHP,VBS FICHIERS CPL,ZIP,JAR ET PRESQUE N’IMPORTE QUOI D’AUTRE… RAPPORTS SOUS DIFFÉRENTS FORMATS TRACES DES APPELS WIN32 FICHIERS CRÉÉS, MODIFIÉS, EFFACÉS, TÉLÉCHARGÉS DUMP DU PROCESS ANALYSÉ TRACES RÉSEAU AU FORMAT PCAP CAPTURES D’ÉCRAN DURANT L’EXÉCUTION DUMP MÉMOIRE COMPLET DE LA MACHINE,RÉSULTATS VIRUSTOTAL,ETC… ANALYSE AUTOMATISÉE
  • 12. 5412Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 DESASSEMBLAGE DECOMPILATION ASSEMBLEUR,C/C++, IDA PRO, HOPPER,OLLYDBG,ETC. SYSTEMES D’EXPLOITATION FONCTIONNEMENT BAS NIVEAU, APPELS SYSTÈMES,GESTION MÉMOIRE, SYSTÈMES DE FICHIERS, REGISTRE,APIWINDOWS, ETC. RESEAU CONNAISSANCES DES PROTOCOLES STANDARDS, FUZZING DE PROTOCOLES, CONCEPTS TCP/IP,ETC. CRYPTOGRAPHIE CONNAISSANCES DES ALGOS STANDARDS ET EXOTIQUES, DE LEURS IMPLÉMENTATIONS ETC. PACKERS OBFUSCATION DÉTECTION DE PACKER, UNPACKING, DÉSOBFUSCATION, ETC. ETC… (ANTI-)DEBBUGING, (ANTI-)FORENSIC, HONEYPOTTING, SANDBOXING, ETC. L’ANALYSE MANUELLE LES COMPÉTENCES REQUISES
  • 13. 5413Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ANALYSE MANUELLEVS.AUTOMATISÉE VS.
  • 14. 5414Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ANALYSE MANUELLEVS.AUTOMATISÉE ReportingAcquisition soumission Analyse statique Analyse dynamique Analyse mémoire Analyse réseau Analyse manuelle approfondie
  • 15. 5415Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ARCHITECTURE Internet / Sinkhole / Aucune connexion Réseau virtuel Hôte Cuckoo - Hyperviseur - Démarre l’analyse - Dump le trafic - Génère les rapports VM cibles - environnement à infecter et à analyser VM analysée N°1 VM analysée N°2 VM analysée N°...
  • 16. 5416Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ARCHITECTURE Cuckoo main server Cuckoo web server Cuckoo web service (REST) Internet Sinkhole / Simu. Windows Agent.py Applications tierces Etendre Cuckoo:  Maltego  El Jefe  Etc... Utilisateur Cuckoo Sandbox VM Intégrer Cuckoo dans l’infrastructure:  CuckooMX  El Jefe  SOC  CERT, CSIRT  Etc...
  • 17. 5417Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 FLUX D’EXÉCUTION Soumission du sample 1 Analyse statique 2 Retour au snapshot clean 3 Démarrage de la VM 4 Transfert du malware à la VM 5 Lancement du monitoring 6 Exécution du malware 7 Arrêt du monitoring 8 Suspension de la VM 9 Acquisition du dump mémoire 10 Analyse du dump réseau 11 Reporting 12
  • 18. 5418Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 PRÉREQUIS (HÔTE) Hardware : • Les prérequis habituels pour de la virtualisation (CPU’s, RAM et HDD) Software : • Linux (Debian, Ubuntu, etc.), Windows et MacOsX possibles en théorie. • Un hyperviseur (Théoriquement ouvert à plusieurs système mais VirtualBox reste fortement conseillé). • Python (version 2.7 fortement conseillée). • SQLAlchemy, Python BSON, Tcpdump, Volatility, DPKT, Jinja2, Magic, Pydeep, MongoDB, Pymongo, Yara, Yara Python, Libvirt, Bottlepy, Django, Pefile, MAEC Python bindings, Chardet.
  • 19. 5419Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 PRÉREQUIS OBLIGATOIRES (GUEST) vHardware : • Les prérequis habituels pour de la virtualisation (CPU’s, RAM et HDD). Software : • Windows XP SP3 (Windows 7, UAC désactivé). • Logiciels tiers (Office, Adobe reader, navigateurs, etc.) • Désactivation du firewall. • Désactivation des mises à jour automatiques. • Python 2.7 + PIL for Python. • Cuckoo agent.py (agent.pyw). • Paramétrer le réseau. • Activer le login automatique. • SNAPSHOT!
  • 20. 5420Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LA CONFIGURATION 6 fichiers de configuration principaux : • cuckoo.conf : Configuration générale et options d’analyse. • auxiliary.conf : Configuration des modules auxiliaires (ex: capture réseau). • <machinery>.conf : Configuration de la virtualisation. • memory.conf : Configuration de l’analyse mémoire (Volatility framework). • processing.conf : Activation / désactivation des étapes d’analyse. • reporting.conf : Configuration du reporting.
  • 21. 5421Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 QUELQUES POINTS IMPORTANTS Un environnement isolé n’est que rarement sûr à 100%: • Cuckoo Sandbox (Evasion) : http://cuckoosandbox.org/2014-10-07- cuckoo-sandbox-111.html • Oracle VirtualBox : CVE-2014-4261, CVE-2014-4228, CVE-2014-2489, etc… • Instructions CPU non virtualisables, offloading (interface réseau) Lors de l’attribution de l’accès internet au malware, attention aux infections sur le LAN: • Solution (partielle) : Simulation de services réseau (ex : InetSim) Un environnement sandboxé et/ou virtualisé peut être détecté par certains malwares: • Test : Pafish https://github.com/a0rtega/pafish • Solution (partielle) : Zer0m0n ou Markedoe + tweak(s) manuel(s)…
  • 22. 5422Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ANTI DÉTECTION :VM
  • 23. 5423Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ANTI DÉTECTION :VM + CUCKOO
  • 24. 5424Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 DÉTECTION :VM + CUCKOO + TWEAKING
  • 25. 5425Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 DEMOLa facture Zalando
  • 26. 5426Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  • 27. 5427Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  • 28. 5428Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  • 29. 5429Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  • 30. 5430Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 La capture réseau Les fichiers créés / droppés Le dump mémoire Le reporting Les captures d’écran
  • 31. 5431Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LE REPORTING Super, mais j’aime pas les lignes de commandes…
  • 32. 5432Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 CARACTÉRISTIQUES DU FICHIER
  • 33. 5433Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LES SIGNATURES Communications réseau Sandboxing détecté !!! Persistance Probablement un dérivé de Zeus
  • 34. 5434Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 L’ANALYSE STATIQUE Quelques chaînes de caractères intéressantes : • *AC:FA2C7YkYW.vbp • vgybhy, fvgdcf, cvfdezcvg, uhuihiuh, cvfrdsdfvc • Etc…
  • 35. 5435Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LES FICHIERS CRÉÉS / DROPPÉS
  • 36. 5436Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 L’ANALYSE DYNAMIQUE Exécution d’opérations au démarrage ou persistance Persistance Récupération du nom de la machine
  • 37. 5437Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 L’ANALYSE RÉSEAU Surprenant… Ça s’explique…
  • 38. 5438Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ONVÉRIFIE L’HISTORIQUE… Encore plus surprenant…
  • 39. 5439Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 RETWEAKING DE LAVM • Désinstallation des VirtualBox guest tools. • Nettoyage du registre (références à VirtualBox). • Nettoyage des fichiers résiduels (références à VirtualBox). • Modifications des drivers. Nouvelle analyse!
  • 40. 5440Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 NOUVELLES SIGNATURES Ne détecte plus VirtualBox.
  • 41. 5441Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 TOUT DE SUITE PLUS BAVARD…
  • 42. 5442Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 AUTRES FORMATS DE REPORTING JSON MAEC XML
  • 43. 5443Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  • 44. 5444Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 CUCKOO SANDBOX,OÙ ET QUAND? PRÉVENTIF (LEVÉE DE DOUTE) RÉACTIF (INCIDENT RESPONSE) POST-MORTEM (ANALYSE FORENSIQUE) THREAT INTELLIGENCE (IOC, SIGNATURES) Equipe sécurité SOC, intégration infra. CERT / CSIRT Equipe forensique Prestataires externes Autre… ? ? ? ? Appréciations complètement subjectives…
  • 45. 5445Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 CONCLUSION • Ne demande pas des connaissances aussi pointues que pour l’analyse manuelle. • La qualité de l’analyse dépend fortement de la capacité d’interprétation des résultats. • L’environnement Cuckoo + VM peut être détectable par certains malwares. • La globalité du code du malware ne sera très probablement pas totalement exécutée. • Comporte toujours un risque (débordement du sandboxing, LAN, etc.)… • Très bonne documentation. • Communauté très active autour du produit. • Automatisable et intégrable au sein d’une architecture.
  • 46. 5446Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 BONUSUn peu de visualisation avec Maltego
  • 47. 5447Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
  • 48. 5448Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
  • 49. 5449Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
  • 50. 5450Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
  • 51. 5451Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
  • 52. 5452Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 POUR ALLER PLUS LOIN… Malwr: • Version online gratuite de Cuckoo Sandbox. • Parfait pour des tests de malwares «communs». • Attention à la confidentialité!!! • Pas de possibilité de récupérer les dumps mémoire et réseau. Cuckoo Android Extension: • Support de l’émulateur Android ARM pour exécuter des APK’s et des URL. Community.py: • Utilitaire pour télécharger et installer les modules développés par la communauté. El Jefe: • Intégration avec l’outil El Jefe (détection, réponse et traçage des menaces).
  • 53. 5453Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 QUESTIONS
  • 54. 5454Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 MERCI! http://www.cuckoosandbox.org Alain Sullam • http://docs.cuckoosandbox.org/en/latest/ • https://www.packtpub.com/networking-and-servers/cuckoo- malware-analysis • https://github.com/a0rtega/pafish • https://github.com/conix-security/zer0m0n • https://github.com/markedoe/cuckoo-sandbox • http://www.inetsim.org/ • https://github.com/cuckoobox/community • https://www.paterva.com/web6/products/maltego.php • https://malwr.com/ • https://eljefe.immunityinc.com/ • https://github.com/idanr1986/cuckoo • https://github.com/xme/cuckoomx sysinsider41 [at] gmail.com https://ch.linkedin.com/in/alainsullam https://github.com/sysinsider Quelques références utiles: