Upload
shellmates
View
218
Download
4
Tags:
Embed Size (px)
Citation preview
24/04/2015
Thinking Innovations
MALWARE ANALYSISSpeaker : FATHI Mohamed Ali C|EH C|HFI v8
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
24/04/2015
Thinking Innovations
http://test-intrusion.blogspot.com
https://github.com/it-solunium
https://twitter.com/itsolunium
WHOAMI
CONTACT
CERTIFICATIONS (En sécurité)
Directeur des systèmes d’information chez un groupeIndustriel pharmaceutique.
Ethical Hacker & Computer Hacking Forensic Investigator
https://www.linkedin.com/in/fathimedali
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
AGENDA(Avril – Mai 2015)
11/04/2015 15hSpeakerEthical HackingLieu : USTHB
18/04/2015 09hSpeakerMalware AnalysisLieu : ESI
09/05/2015 ?SpeakerWindows Kerberos (The Black days)
24/04/2015
INTRODUCTION
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
INTRODUCTION
Statistiques (2014)
317MILLIONSDe nouveaux Malwares sont créés en 2014
Ce qui équivaut à 1 million de Malware par jour
Source : Symantec's analysis of security threats in 2014http://money.cnn.com/2015/04/14/technology/security/cyber-attack-hacks-security/
24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
INTRODUCTION
Etat de l’art
Actuellement, les Hackers travaillent plus rapidement comparant à la vitesse à laquelle les entreprises se protègent.
Et ils lancent plus d’attaques malveillantes par rapport aux années précédentes.
Source : Symantec's analysis of security threats in 2014http://money.cnn.com/2015/04/14/technology/security/cyber-attack-hacks-security/
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
INTRODUCTION
“There are two kinds of big companies in the United States: those who’ve been hacked and those who don’t yet know that they’ve been hacked.”
Ben GodardFull time ethical hacker on the Microsoft Office 365
red Team
24/04/2015
CyberMap
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
World Cyber Attacks
CyberMapKaspersky
Source : http://cybermap.kaspersky.com Date : 07/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
24/04/2015
CyberMapIP Viking
Source : http://map.ipviking.com Date : 07/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
CyberMapDDOS Attacks
Source : http://map.ipviking.com Date : 07/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
24/04/2015
Hacking2014 Attackers focusing on
older Vulnerabilities
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Anciennes tendances Vs
Nouvelles tendances
Source: HP Cyber Risk Report 2015http://www.tripwire.com/state-of-security/
latest-security-news/report-nearly-half-of-known-attacks-leverage-old-vulnerabilities/
Etude de cas
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
STUXNET
24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Etude de cas : STUXNET
Présentation de STUXNET
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Etude de cas : STUXNET
Les vecteurs d’attaques !
24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Etude de cas : STUXNET
Vecteur d’attaque principal (Les supports de stockage amovibles)
Première vulnérabilité MS10-046
Structure d’un fichier .LNK
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Etude de cas : STUXNET
Vecteurs d’attaque additionnels (Le réseau)Deuxième vulnérabilité MS10-061
Deuxième vulnérabilité MS10-061Imprimer (Ecrire) des fichiers dans le répertoire %SYSTEM%
L’exploitation se fait en deux phases :1) Ecrire les fichiers winsta.exe et sysnullevnt.mof dans les
dossiers systèmes.2) L’exécution du fichier de script sysnullevnt.mof.
24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Etude de cas : STUXNET
Installation durable3ème vulnérabilité MS10-073
Le driver Win32k.sys est responsable de la gestion du clavier
Un index est chargé depuis une librairie partagée.
Exécution de code.
Vulnérabilité qui cible Windows 2000 et XP.
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Etude de cas : STUXNET
Installation durableCinquième vulnérabilité MS10-092
Spécifications de l’enregistrement des tâches:1- La tâche est stockée dans un simple fichier XML.2- Ce fichier est enregistré dans : « %SystemRoot%\system32\Tasks »3- Le fichier XML en question n’est accessible et modifiable que par la personne qui l’a ajouté.4- Ce fichier contient les informations sur l’utilisateur qui l’a créé et le niveau de privilèges requis pour l’exécuter.5- Ce fichier est protégé lors de son exécution par une empreinte CRC32.
Elévation de privilèges
Vulnérabilité qui cible Windows Vista, 7 et 2008.
24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Etude de cas : STUXNET
Attaque des systèmes industriels ?
Interceptions des communications entre le PLC et WinCC
SCENARIO RECENT
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Transactions bancaires frauduleuses
24/04/2015
MalwareDyre Wolf (03/04/2015)
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Source : http://thehackernews.com/2015/04/dyre-wolf-banking-malware.html
Analyse de l’attaque :
1- Spear phishing.2- Lancement du Downloader.3- Téléchargement & lancement du Malware. + Propagation.4- Connexion à un portail de banque modifié. (Améliorations)5- Appel téléphonique.9- Extraction des données.6- Transfert d’argent.7- DDos attaque sur le portail de la banque.
Définitions
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
About Malware Analysis
24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Définitions
Qu’est-ce qu’un Malware ?
Malicious code is “any code added, changed, or removed from a software system to intentionally cause harm or subvert the system’s intended function”
(McGraw and Morisett, 2000, p. 33).
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Définitions
Pourquoi faire de l’analyse de Malware ?
Afin de (recenser|inventorier) les damages causés à l’organisation suite à une infection.
Découvrir et cataloguer des indicateursDe compromission afin de détecter d’autres infections où de propagation.
Identifier la où les vulnérabilités exploitéesqui ont mené à la présence du Malware.
Identifier si le responsable de l’attaqueest un Insider où Intruder .
24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Définitions
Pourquoi faire de l’analyse de Malware ?
Mais aussi déterminer le niveau de sophisticationde l’auteur du Malware.
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Définitions
Pourquoi faire de l’analyse de Malware ?
TechniqueMétier
* Quel est l’objectif de ce Malware ?* Comment il est arrivé là ?* Qui est entrain de nous cibler ?* Comment je peux m’en débarrasser ?* Qu’est-ce qu’on m’a volé ?* Combien de temps qu’il est là ?* Comment puis-je le trouver sur d’autres machines ?* Comment m’en protéger à l’avenir ?
* Quelle sont les indicateur Network & Host based qui le révèle ?* Est-il persistant ?* Quand a-t-il était écrit, compilé et installé ?* Est-il basé sur un outil connu ?* Avec quel langage de programmation l’a-t-on écrit?* Packed? Anti-Debugging ? Rootkit ?
L’analyse de Malware est l’action de prendre à part le Malware pour l’étudier.
24/04/2015
Méthodologie
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
For Malware Analysis
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Méthodologie
Etapes à suivre !
Analyse statique basique
Analyse dynamique
statique
Analyse statique avancée
Analyse dynamique
avancée
24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Méthodologie
Analyse statique basique
Analyse statique basique
1- Antivirus scanning2- Hashing : Une empreinte pour le Malware3- Trouver des chaines de caractères.4- Détection des Packers & de l’obfuscation de code.5- Enumération des DLL & fontions.
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Méthodologie
Analyse dynamique basique
1- Mise en place d’un laboratoire virtuel.2- Exécution du Malware.3- Monitoring avec Process monitor.4- Afficher les processus (Process Explorer).5- Comparer les snapshots du registre.6- Simuler un réseau.7- Packet sniffing.
Analyse dynamique
statique
24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Méthodologie
Analyse statique avancée
1- Déssasembleur.2- Reconnaitre les Codes Constructs.3- Analyser un code malveillant sous Windows.
Analyse statique avancée
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Méthodologie
Analyse dynamique avancée
Le débogage.
Analyse dynamique
avancée
24/04/2015
Outils
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
For Malware Analysis
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Outils
Distribution REMnux
24/04/2015
Pour allez plus loin
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Working hard !!!
Malware AnalysisBooks
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Malware Analyst’sCookbook & DVDME : Wiling Publishing Inc
Practical MalwareAnalysisME : No strach Press
Cuckoo MalwareAnalysisME : Packt
24/04/2015
Ethical HackingSecurity Policy Review
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
NEXUS 5
Merci pour votre attention
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Q&A