Malware Analysis par Mohamed Ali FATHI - BSides Algiers 2k15

24/04/2015

Thinking Innovations

MALWARE ANALYSISSpeaker : FATHI Mohamed Ali C|EH C|HFI v8

Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8

24/04/2015

Thinking Innovations

[email protected]

http://test-intrusion.blogspot.com

https://github.com/it-solunium

https://twitter.com/itsolunium

WHOAMI

CONTACT

CERTIFICATIONS (En sécurité)

Directeur des systèmes d’information chez un groupeIndustriel pharmaceutique.

Ethical Hacker & Computer Hacking Forensic Investigator

https://www.linkedin.com/in/fathimedali


AGENDA(Avril – Mai 2015)

11/04/2015 15hSpeakerEthical HackingLieu : USTHB

18/04/2015 09hSpeakerMalware AnalysisLieu : ESI

09/05/2015 ?SpeakerWindows Kerberos (The Black days)

24/04/2015

INTRODUCTION



INTRODUCTION

Statistiques (2014)

317MILLIONSDe nouveaux Malwares sont créés en 2014

Ce qui équivaut à 1 million de Malware par jour

Source : Symantec's analysis of security threats in 2014http://money.cnn.com/2015/04/14/technology/security/cyber-attack-hacks-security/

24/04/2015


INTRODUCTION

Etat de l’art

Actuellement, les Hackers travaillent plus rapidement comparant à la vitesse à laquelle les entreprises se protègent.

Et ils lancent plus d’attaques malveillantes par rapport aux années précédentes.

Source : Symantec's analysis of security threats in 2014http://money.cnn.com/2015/04/14/technology/security/cyber-attack-hacks-security/


INTRODUCTION

“There are two kinds of big companies in the United States: those who’ve been hacked and those who don’t yet know that they’ve been hacked.”

Ben GodardFull time ethical hacker on the Microsoft Office 365

red Team

24/04/2015

CyberMap


World Cyber Attacks

CyberMapKaspersky

Source : http://cybermap.kaspersky.com Date : 07/04/2015


24/04/2015

CyberMapIP Viking

Source : http://map.ipviking.com Date : 07/04/2015


CyberMapDDOS Attacks

Source : http://map.ipviking.com Date : 07/04/2015


24/04/2015

Hacking2014 Attackers focusing on

older Vulnerabilities


Anciennes tendances Vs

Nouvelles tendances

Source: HP Cyber Risk Report 2015http://www.tripwire.com/state-of-security/

latest-security-news/report-nearly-half-of-known-attacks-leverage-old-vulnerabilities/

Etude de cas


STUXNET

24/04/2015


Etude de cas : STUXNET

Présentation de STUXNET



Les vecteurs d’attaques !

24/04/2015



Vecteur d’attaque principal (Les supports de stockage amovibles)

Première vulnérabilité MS10-046

Structure d’un fichier .LNK



Vecteurs d’attaque additionnels (Le réseau)Deuxième vulnérabilité MS10-061

Deuxième vulnérabilité MS10-061Imprimer (Ecrire) des fichiers dans le répertoire %SYSTEM%

L’exploitation se fait en deux phases :1) Ecrire les fichiers winsta.exe et sysnullevnt.mof dans les

dossiers systèmes.2) L’exécution du fichier de script sysnullevnt.mof.

24/04/2015



Installation durable3ème vulnérabilité MS10-073

Le driver Win32k.sys est responsable de la gestion du clavier

Un index est chargé depuis une librairie partagée.

Exécution de code.

Vulnérabilité qui cible Windows 2000 et XP.



Installation durableCinquième vulnérabilité MS10-092

Spécifications de l’enregistrement des tâches:1- La tâche est stockée dans un simple fichier XML.2- Ce fichier est enregistré dans : « %SystemRoot%\system32\Tasks »3- Le fichier XML en question n’est accessible et modifiable que par la personne qui l’a ajouté.4- Ce fichier contient les informations sur l’utilisateur qui l’a créé et le niveau de privilèges requis pour l’exécuter.5- Ce fichier est protégé lors de son exécution par une empreinte CRC32.

Elévation de privilèges

Vulnérabilité qui cible Windows Vista, 7 et 2008.

24/04/2015



Attaque des systèmes industriels ?

Interceptions des communications entre le PLC et WinCC

SCENARIO RECENT


Transactions bancaires frauduleuses

24/04/2015

MalwareDyre Wolf (03/04/2015)


Source : http://thehackernews.com/2015/04/dyre-wolf-banking-malware.html

Analyse de l’attaque :

1- Spear phishing.2- Lancement du Downloader.3- Téléchargement & lancement du Malware. + Propagation.4- Connexion à un portail de banque modifié. (Améliorations)5- Appel téléphonique.9- Extraction des données.6- Transfert d’argent.7- DDos attaque sur le portail de la banque.

Définitions


About Malware Analysis

24/04/2015


Définitions

Qu’est-ce qu’un Malware ?

Malicious code is “any code added, changed, or removed from a software system to intentionally cause harm or subvert the system’s intended function”

(McGraw and Morisett, 2000, p. 33).


Définitions

Pourquoi faire de l’analyse de Malware ?

Afin de (recenser|inventorier) les damages causés à l’organisation suite à une infection.

Découvrir et cataloguer des indicateursDe compromission afin de détecter d’autres infections où de propagation.

Identifier la où les vulnérabilités exploitéesqui ont mené à la présence du Malware.

Identifier si le responsable de l’attaqueest un Insider où Intruder .

24/04/2015


Définitions


Mais aussi déterminer le niveau de sophisticationde l’auteur du Malware.


Définitions


TechniqueMétier

* Quel est l’objectif de ce Malware ?* Comment il est arrivé là ?* Qui est entrain de nous cibler ?* Comment je peux m’en débarrasser ?* Qu’est-ce qu’on m’a volé ?* Combien de temps qu’il est là ?* Comment puis-je le trouver sur d’autres machines ?* Comment m’en protéger à l’avenir ?

* Quelle sont les indicateur Network & Host based qui le révèle ?* Est-il persistant ?* Quand a-t-il était écrit, compilé et installé ?* Est-il basé sur un outil connu ?* Avec quel langage de programmation l’a-t-on écrit?* Packed? Anti-Debugging ? Rootkit ?

L’analyse de Malware est l’action de prendre à part le Malware pour l’étudier.

24/04/2015

Méthodologie


For Malware Analysis


Méthodologie

Etapes à suivre !

Analyse statique basique

Analyse dynamique

statique

Analyse statique avancée

Analyse dynamique

avancée

24/04/2015


Méthodologie



1- Antivirus scanning2- Hashing : Une empreinte pour le Malware3- Trouver des chaines de caractères.4- Détection des Packers & de l’obfuscation de code.5- Enumération des DLL & fontions.


Méthodologie

Analyse dynamique basique

1- Mise en place d’un laboratoire virtuel.2- Exécution du Malware.3- Monitoring avec Process monitor.4- Afficher les processus (Process Explorer).5- Comparer les snapshots du registre.6- Simuler un réseau.7- Packet sniffing.

Analyse dynamique

statique

24/04/2015


Méthodologie


1- Déssasembleur.2- Reconnaitre les Codes Constructs.3- Analyser un code malveillant sous Windows.



Méthodologie

Analyse dynamique avancée

Le débogage.

Analyse dynamique

avancée

24/04/2015

Outils


For Malware Analysis


Outils

Distribution REMnux

24/04/2015

Pour allez plus loin


Working hard !!!

Malware AnalysisBooks


Malware Analyst’sCookbook & DVDME : Wiling Publishing Inc

Practical MalwareAnalysisME : No strach Press

Cuckoo MalwareAnalysisME : Packt

24/04/2015

Ethical HackingSecurity Policy Review


NEXUS 5

Merci pour votre attention


Q&A

Malware Analysis par Mohamed Ali FATHI - BSides Algiers 2k15

Internet

Transcript of Malware Analysis par Mohamed Ali FATHI - BSides Algiers 2k15