e-Construction : Mon cyber-journal perso

"L'intelligence c'est d'apprendre de ses erreurs, la sagesse c'est d'apprendre de celles des autres..."


en flag Read it in english with google

Depuis les massacres de GAZA, je n'ai pas pu publier d'articles traitant d'autres choses que ces massacres....je considérais qu'on devait traiter ces évènements comme la priorité des priorités...rien ne devait "partager" notre attention ni nous éloigner, même quelques secondes, de ce qui se passait.

Maintenant, une "phase" du conflit est passée...je reprendrais inchallah mes contributions avec un nouveau souffle. Plus qu'avant, le devoir de construire, d'améliorer et de montrer ce qui ne va pas...ce devoir est plus que jamais nécessaire et important.

Mais comment passer de mes derniers billets concernant GAZA à quelque chose qui traite de la sécurité ?

En lisant, il y a quelques semaines, un billet sur "An Israeli patriot program or a trojan" , j'ai trouvé le "lien". En fait, j'ai promis à certains de faire un billet un peu "pédagogique" sur les premières actions d'analyse à mener quand on est on face d'un PC sous Windows qui présente des signes de compromission / infection.

Alors de quoi s'agit-il ?

C'est une "initiative" qui a pour objectif de donner à chaque personne voulant "aider Israël à gagner" dans son combat contre les Palestiniens un moyen de participer à cet effort !!! On n'a qu'à télécharger un petit programme, et du coup, ce petit "patriote" va faire tout seul le nécessaire...mais la question : comment le fait-il vraiment ?

Je vais donc considérer ce programme comme "suspect" et l'analyser comme un exemple pour les gens qui sont dans la situation suivante :

1- Un comportement suspect (supposé ou avéré) du PC est remarqué
2- L'anti-virus / spyware ne détecte ou ne fait rien
3- On veut savoir ce qui se passe vraiment avant d'installer un nouveau antivirus ou réinstaller complètement le système !

Faisons connaissance avec notre suspect

Toute personne censée, avant d'affronter un adversaire, cherche à avoir le plus d'informations possibles...sans éveiller les soupçons (comprendre : sans exécuter le programme).

On sollicite déjà l'aide des "services spécialisés" !

Dans notre cas, on s'intéresse potentiellement à un code malicieux, autant consulter les sites qui proposent de vous analyser un programme en le passant par plusieurs moteurs antivirus.

Le plus connu (pour moi au moins) est bien sûr virustotal....celui-ci nous dit que, pour 5/36 des antivirus utilisés, le fichier en question est un "code malicieux"



(notez le "not-a-virus" de Kaspersky !!)

On est maintenant conforté dans notre idée...

Voyons nous-même maintenant s'il y a des indices qu'on peut récolter de ce fichier. L'outil "strings" nous donne quelques fois de bonnes indications (dans des cas d'applications mal codées...on obtient même des mots de passe).
Sous Linux, c'est une commande, sous Windows, on utilise par exemple la suite ShellExt de idefense Labs

$ strings Suspect.exe
(sous Windows, après installation de ShellExt, on fait un clic droit...comme d'hab :))

Dans ce cas rien d'intéressant, à part quelques fonctions Windows, qui confirment que c'est un truc codé probablement en Visual C++ ou dans le même genre.

Dernière chose, j'aime voir la date et l'heure de création du binaire (supposée, parce que on peut altérer ces informations). Comme on est devant un fichier avec un format PE, on a le champ "TimeDateStamp".
Pour le voir on utilise un éditeur hexa, sous Linux xxd par exemple nous suffit. Pour Windows, PSPad est un de mes préférés.

On obtient la valeur suivante :
$ xxd Suspect.exe head -n 15 ...........................................
00000d0: 5045 0000 4c01 0500 e5e7 4c49 0000 0000 PE..L.....LI....
Alors, comme les calculs sont fait à partir du 1er Janvier 1970 00:00:00, il sera question de convertir "494ce7e5" (qui est en hexa) en une valeur date / heure...ça revient à calculer la date recherchée qui est 1229776869 secondes après la date référence. Et ça donne " Samedi 20 décembre 2008, 12:41:09 GMT"
On peut le faire en ligne ou par commande sous Linux :
$date -u --date="1970-01-01 1229776869 sec GMT"
Alors comme les attaques ne commençaient que le Samedi 27 décembre 2008 (une semaine après), soit le fichier a été altéré (je l'ai récupéré quand même de leur site) ou on se préparait déjà à ça bien avant !!!!

Préparons notre boite à outils

Analyser le comportement est en grande partie savoir que fait exactement et quels sont les processus, les clés de registres, les fichiers et les connexions réseau créés. Pour le faire sur un environnement Windows, la suite (gratuite) de Sysinternals est la solution idéale....surtout après leur acquisition par Microsoft.

On va construire alors notre boite avec seulement les 2 outils suivants :

Process Monitor est le premier à utiliser. En fait, il combine les fonctionnalités de deux autres anciens utilitaires : Registre Monitor et File Monitor.

Dans notre cas, on va installer le programme à analyser tout en le surveillant via un filtre sur le nom du programme :



Certaines actions sont intéressantes à vérifier : création de fichier, création de clé de registre....les filtres sont là pour affiner l'analyse :



On a testé le comportement lors de l'installation, maintenant voyons ce qu'il fait quand il est exécuté.... mais là, en plus de ProcMon on va surveiller le trafic réseau avec wireshark, notre 2ème outil.

Apparemment, on est arrivé un peu en retard. Les sites demandée ne répondant pas ou ferment la connexion (pas de service en écoute probablement) : (les essais se font sur les port 80, 443 et 8080)

64.244.62.198 irc.foonet.com
74.204.188.180 unknown180.188.204.74.defenderhosting.com
74.204.170.92 unknown92.170.204.74.defenderhosting.com

Il parait aussi que ça utilisait un serveur IRC pour recevoir ses "ordres"

Bon, cet exemple n'est pas le bon choix pour analyser un code malicieux.
Si je tombe sur quelque chose d'intéressant ou si quelqu'un m'envoie un petit "suspect" j'essayerais de refaire l'analyse.

Une dernière chose, vous pouvez avoir une analyse gratuite et plus complète en soumettant vos échantillons à certains sites. Un des plus intéressant est cwsandbox


.

1 commentaires

  1. AmarSoft  

    merci khou tu m'as fais découvrir des trucs

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)