Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Analyser un binaire suspect quand l’antivirus ne dit rien

auteur de l'article Jerome Saiz , dans la rubrique Carrière

L’analyse de malware est un métier et il n’est bien entendu pas question d’imaginer que l’équipe SSI puisse remplir cette tâche  -à moins qu’elle ne compte en ses rangs un passionné du reverse engineering, évidemment.

Mais il est désormais courant d’être confronté à un binaire (par exemple récupéré sur le poste de travail d’un collaborateur) que l’on suspecte d’être malveillant, sans pour autant que l’analyse antivirus ne soit concluante (pour, parfois, de bonnes raisons).

Le bon réflexe est alors d’envoyer l’exécutable à son éditeur antivirus pour analyse. Mais les délais de réponse de ce dernier sont variables et l’entreprise peut souhaiter être fixée au plus vite, afin notamment de prendre les mesures d’isolation et de remédiation qui s’imposent.

Dans ce cas, l’équipe SSI doit alors analyser elle-même le binaire afin de déterminer l’intention malveillante… sans disposer pour autant d’un véritable environnement d’analyse de malware !

Il existe heureusement plusieurs services en ligne gratuits capables d’exécuter un binaire dans un environnement virtualisé et d’offrir un rapport détaillé de son activité. Et même si l’on n’est pas un expert, il est alors relativement aisé de se faire en quelques minutes une idée du caractère malveillant d’un exécutable, notamment en observant les fichiers systèmes ou les clés de registres modifiés, ainsi que ses traces réseau.

Les services

Bien qu’il existe de nombreux outils disponibles (gratuits et commerciaux), nous présentons ici trois d’entre eux, que nous utilisons régulièrement.

Anubis. Le service Anubis livre des rapports exhaustifs sur le comportement non seulement du binaire soumis, mais évidemment aussi des processus qu’il pourrait créer et des autres binaires qu’il pourrait télécharger. Tout y passe, depuis les clés de registres lues ou modifiées jusqu’aux fichiers lus ou écrits sur le disque, en passant par les DLL chargées, les disques durs mappés, les accès aux zones de mémoire qui ne lui appartiennent pas, et bien entendu les requêtes DNS et HTTP émises.

Bien que complets ces rapports ne sont toutefois pas commentés : il conviendra de connaître un minimum le fonctionnement de Windows pour y déceler des comportements anormaux (bien que, globalement, la seule lecture des traces réseau suffise généralement à lever le doute !). Mais pour qui sait les lire, toutes les informations nécessaires s’y trouvent présentées d’emblée.

Malwr.com.  Probablement le plus clair des trois, malwr.com offre des rapports commentés directement exploitables. Il indiquera ainsi clairement si le binaire écoute à un port réseau, réalise des requêtes HTTP, s’installe en auto-run sous Windows ou modifie des réglages du navigateur. Toutes ces informations sont évidemment aussi disponibles dans le rapport produit par Anubis, mais il faudra savoir aller les chercher et les interpréter tandis que Malwr.com les présente immédiatement.

En revanche, certaines des informations offertes sont uniques : il s’agit notamment des alertes indiquant que le binaire « joue » avec les réglages du pare-feu ou créée des Mutex que l’on sait appartenir à des trojans connus (tels Zeus, par exemple).

Autre avantage : le service propose une capture d’écran du bureau Windows avant et après l’exécution du programme, afin d’avoir une autre source d’information, visuelle celle-ci.

Une vision synthétique de l’activité réseau (hôtes et URL seulement) est également présentée d’emblée, ainsi qu’une synthèse de l’analyse via Virustotal, qui pourra faire gagner du temps.

Le reste du rapport, largement plus détaillé que cette première synthèse, est accessible à travers des menus. Là aussi, l’ensemble est parfois beaucoup plus clair – et parfois plus riche – que ce que propose Anubis. Malwr.com propose notamment une timeline graphique reprenant les diverses activités du binaire et de ses processus enfants, dans tous les domaines (réseau, système de fichier, registre,  processus, services, etc…).

Les traces réseaux sont elles aussi particulièrement bien présentées, et il est notamment possible d’accéder sélectivement aux sessions HTTP, IRC ou SMTP.

Enfin, un onglet permet d’accéder aux fichiers déposés par le binaire sur le système.

totalhash.com. Situé à mi-chemin des deux services précédents quant à la clarté des rapports, totalhash.com s’en distingue cependant par sa souplesse lorsqu’il s’agit de lui soumettre des échantillons. Le service accepte notamment des téléchargement scriptés (un script perl pour une soumission en HTTP est proposé), par Curl ou encore via un dépôt FTP.

Son autre intérêt est de fonctionner à la manière d’un moteur de recherche : il est possible d’y rechercher des hashes (d’ou le nom), mais aussi des noms de fichiers ou de clés de registres, et d’obtenir les binaires répertoriés qui en font usage, avec leurs évaluations (via plusieurs antivirus) et leur analyse.

L’analyse

Inutile de chercher ici à réaliser une analyse détaillée. L’objectif est de repérer des indicateurs d’activité incohérente avec l’objet affiché du binaire. Cela sera, généralement, la modification de clés de registres du navigateur, la mise en démarrage automatique, l’accès à des zones mémoires étrangères, des requêtes HTTP vers des domaines totalement arbitraires, du trafic IRC ou encore la récupération, l’extraction et l’exécution de nouveaux binaires, etc…

Si l’on prend l’exemple de la vague de courriers infectés qui semble saturer les boîtes emails actuellement, toutes les pièces jointes reçues sont au format .scr (économiseur d’écran Windows). L’analyse de ces binaires via les services présentés ici permet cependant de révéler des comportements très éloignés de ceux d’un économiseur d’écran légitime, avec notamment la génération en cascade de plusieurs exécutables, le téléchargement de données externes et la modification de réglages d’Internet Explorer. (Evidemment, dans ce cas particulier une telle analyse n’est pas nécessaire considérant que ces « économiseurs d’écran » sont présentés comme des factures ou des messages de fax électronique, ce qui suffit à en prouver le caractère malveillant)

A noter, enfin, que ces rapports donnent également le nom des binaires créés et exécutés dans un second temps par le malware initial. Et contrairement à ce dernier, dont le nom est souvent aléatoire, il semble que les cyber-criminels ne s’embarrassent pas à randomiser les noms des binaires suivants. Une recherche Google sur le nom ou le hash de ces exécutables secondaires pourra alors se révéler précieuse, en indiquant par exemple que le premier binaire, certes inconnu, n’est en réalité qu’un downloader pour un cheval de Troie, lui, bien connu.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

2 réponses à Analyser un binaire suspect quand l’antivirus ne dit rien

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.