Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Introduction to malware analysis with Cuckoo Sandbox

2,699 views

Published on

A short introduction (in French) to malware analysis with Cuckoo Sandbox. This is the slides of a talk given at "Clusis strategic day 2015".

Published in: Technology
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THAT BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://shorturl.at/mzUV6 } ......................................................................................................................... Download Full EPUB Ebook here { http://shorturl.at/mzUV6 } ......................................................................................................................... Download Full doc Ebook here { http://shorturl.at/mzUV6 } ......................................................................................................................... Download PDF EBOOK here { http://shorturl.at/mzUV6 } ......................................................................................................................... Download EPUB Ebook here { http://shorturl.at/mzUV6 } ......................................................................................................................... Download doc Ebook here { http://shorturl.at/mzUV6 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book that can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer that is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story That Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money That the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths that Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Introduction to malware analysis with Cuckoo Sandbox

  1. 1. 541Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 Cuckoo Sandbox Analyse de malwares automatisée Alain Sullam – Journée stratégique 2015 - CLUSIS
  2. 2. 542Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 AGENDA • Les entreprises face aux malwares / APT • Cuckoo sandbox, c’est quoi? • Analyse manuelle vs. automatisée • L’architecture de Cuckoo Sandbox et ses prérequis • La configuration • Points importants de la virtualisation et du sandboxing • Demo et reporting • Etendre et/ou intégrer Cuckoo Sandbox • Conclusion • (Bonus) un peu de visualisation • (Bonus) Pour aller plus loin… • Questions
  3. 3. 543Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  4. 4. 544Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 QUELQUES CHIFFRES… LA PERCEPTION 32% Pas vraiment probable 2% Pas du tout probable 49% Probable 17% Très probable 13% Très capable 59% Capable 4% Pas du tout capable 24% Pas vraiment capablePense être la future cible d’une APT Pense être capable de détecter une APT – Isaca APT survey report, 2014
  5. 5. 545Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 QUELQUES CHIFFRES (CONT’D)… LA PERCEPTION 24% Pas vraiment capable 4% Pas du tout capable 58% Capable 14% Très capable 11% Très capable 55% Capable 5% Pas du tout capable 29% Pas vraiment capablePense être capable de réagir à une APT Pense être capable de stopper une APT réussie – Isaca APT survey report, 2014
  6. 6. 546Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  7. 7. 547Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 67%des victimes ont été averties par une entité tierces/externe 12%des attaques étaient des attaques ciblées 15% des victimes représentent des services financiers 223nombre de jours median de l’APT avant sa détection 325’000nombre de nouveaux fichiers malicieux découverts par jour par Kaspersky 42% Des attaques ont été découvertes par les forces de l’ordre QUELQUES CHIFFRES… LES STATISTIQUES – Mandiant & Kaspersky (Rapports 2013 & 2014)
  8. 8. 548Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LES GRANDES QUESTIONS… En cas d’incident, on va naturellement se demander : • Quels fichiers (locaux ou non) ont été accédés, créés, supprimés? • Y-a-t-il eu des communications réseaux, et si oui, lesquelles (internes, externes, multiples, ponctuelles, permanentes, etc.)? • En cas de communications réseaux, quels sont leurs buts / contenus (spamming, (D)DOS, exfiltration de données, etc.) et leurs destinations? • Est-ce une attaque ciblée ou opportuniste? • Est-ce une attaque persistante ou non? • Quel est le périmètre de compromission? • …
  9. 9. 549Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 CUCKOO SANDBOX,C’EST QUOI? In three words, Cuckoo Sandbox is a malware analysis system. What does that mean? It simply means that you can throw any suspicious file at it and in a matter of seconds Cuckoo will provide you back some detailed results outlining what such file did when executed inside an isolated environment. – http://www.cuckoosandbox.org • Analyse automatique de fichiers suspicieux • Génération automatisée de rapports (détaillés) • Dans un environnement «sandboxé»
  10. 10. 5410Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 OPEN SOURCEVS.PRODUITS COMMERCIAUX ( ) Anubis Sandbox *online * * *
  11. 11. 5411Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 EXÉCUTABLESWINDOWS COMMENT ÇA FONCTIONNE? FICHIERS DLL DOCUMENTS PDF DOCUMENTS MICROSOFT OFFICE URLS ET FICHIERS HTML SCRIPTS PHP,VBS FICHIERS CPL,ZIP,JAR ET PRESQUE N’IMPORTE QUOI D’AUTRE… RAPPORTS SOUS DIFFÉRENTS FORMATS TRACES DES APPELS WIN32 FICHIERS CRÉÉS, MODIFIÉS, EFFACÉS, TÉLÉCHARGÉS DUMP DU PROCESS ANALYSÉ TRACES RÉSEAU AU FORMAT PCAP CAPTURES D’ÉCRAN DURANT L’EXÉCUTION DUMP MÉMOIRE COMPLET DE LA MACHINE,RÉSULTATS VIRUSTOTAL,ETC… ANALYSE AUTOMATISÉE
  12. 12. 5412Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 DESASSEMBLAGE DECOMPILATION ASSEMBLEUR,C/C++, IDA PRO, HOPPER,OLLYDBG,ETC. SYSTEMES D’EXPLOITATION FONCTIONNEMENT BAS NIVEAU, APPELS SYSTÈMES,GESTION MÉMOIRE, SYSTÈMES DE FICHIERS, REGISTRE,APIWINDOWS, ETC. RESEAU CONNAISSANCES DES PROTOCOLES STANDARDS, FUZZING DE PROTOCOLES, CONCEPTS TCP/IP,ETC. CRYPTOGRAPHIE CONNAISSANCES DES ALGOS STANDARDS ET EXOTIQUES, DE LEURS IMPLÉMENTATIONS ETC. PACKERS OBFUSCATION DÉTECTION DE PACKER, UNPACKING, DÉSOBFUSCATION, ETC. ETC… (ANTI-)DEBBUGING, (ANTI-)FORENSIC, HONEYPOTTING, SANDBOXING, ETC. L’ANALYSE MANUELLE LES COMPÉTENCES REQUISES
  13. 13. 5413Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ANALYSE MANUELLEVS.AUTOMATISÉE VS.
  14. 14. 5414Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ANALYSE MANUELLEVS.AUTOMATISÉE ReportingAcquisition soumission Analyse statique Analyse dynamique Analyse mémoire Analyse réseau Analyse manuelle approfondie
  15. 15. 5415Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ARCHITECTURE Internet / Sinkhole / Aucune connexion Réseau virtuel Hôte Cuckoo - Hyperviseur - Démarre l’analyse - Dump le trafic - Génère les rapports VM cibles - environnement à infecter et à analyser VM analysée N°1 VM analysée N°2 VM analysée N°...
  16. 16. 5416Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ARCHITECTURE Cuckoo main server Cuckoo web server Cuckoo web service (REST) Internet Sinkhole / Simu. Windows Agent.py Applications tierces Etendre Cuckoo:  Maltego  El Jefe  Etc... Utilisateur Cuckoo Sandbox VM Intégrer Cuckoo dans l’infrastructure:  CuckooMX  El Jefe  SOC  CERT, CSIRT  Etc...
  17. 17. 5417Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 FLUX D’EXÉCUTION Soumission du sample 1 Analyse statique 2 Retour au snapshot clean 3 Démarrage de la VM 4 Transfert du malware à la VM 5 Lancement du monitoring 6 Exécution du malware 7 Arrêt du monitoring 8 Suspension de la VM 9 Acquisition du dump mémoire 10 Analyse du dump réseau 11 Reporting 12
  18. 18. 5418Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 PRÉREQUIS (HÔTE) Hardware : • Les prérequis habituels pour de la virtualisation (CPU’s, RAM et HDD) Software : • Linux (Debian, Ubuntu, etc.), Windows et MacOsX possibles en théorie. • Un hyperviseur (Théoriquement ouvert à plusieurs système mais VirtualBox reste fortement conseillé). • Python (version 2.7 fortement conseillée). • SQLAlchemy, Python BSON, Tcpdump, Volatility, DPKT, Jinja2, Magic, Pydeep, MongoDB, Pymongo, Yara, Yara Python, Libvirt, Bottlepy, Django, Pefile, MAEC Python bindings, Chardet.
  19. 19. 5419Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 PRÉREQUIS OBLIGATOIRES (GUEST) vHardware : • Les prérequis habituels pour de la virtualisation (CPU’s, RAM et HDD). Software : • Windows XP SP3 (Windows 7, UAC désactivé). • Logiciels tiers (Office, Adobe reader, navigateurs, etc.) • Désactivation du firewall. • Désactivation des mises à jour automatiques. • Python 2.7 + PIL for Python. • Cuckoo agent.py (agent.pyw). • Paramétrer le réseau. • Activer le login automatique. • SNAPSHOT!
  20. 20. 5420Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LA CONFIGURATION 6 fichiers de configuration principaux : • cuckoo.conf : Configuration générale et options d’analyse. • auxiliary.conf : Configuration des modules auxiliaires (ex: capture réseau). • <machinery>.conf : Configuration de la virtualisation. • memory.conf : Configuration de l’analyse mémoire (Volatility framework). • processing.conf : Activation / désactivation des étapes d’analyse. • reporting.conf : Configuration du reporting.
  21. 21. 5421Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 QUELQUES POINTS IMPORTANTS Un environnement isolé n’est que rarement sûr à 100%: • Cuckoo Sandbox (Evasion) : http://cuckoosandbox.org/2014-10-07- cuckoo-sandbox-111.html • Oracle VirtualBox : CVE-2014-4261, CVE-2014-4228, CVE-2014-2489, etc… • Instructions CPU non virtualisables, offloading (interface réseau) Lors de l’attribution de l’accès internet au malware, attention aux infections sur le LAN: • Solution (partielle) : Simulation de services réseau (ex : InetSim) Un environnement sandboxé et/ou virtualisé peut être détecté par certains malwares: • Test : Pafish https://github.com/a0rtega/pafish • Solution (partielle) : Zer0m0n ou Markedoe + tweak(s) manuel(s)…
  22. 22. 5422Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ANTI DÉTECTION :VM
  23. 23. 5423Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ANTI DÉTECTION :VM + CUCKOO
  24. 24. 5424Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 DÉTECTION :VM + CUCKOO + TWEAKING
  25. 25. 5425Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 DEMOLa facture Zalando
  26. 26. 5426Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  27. 27. 5427Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  28. 28. 5428Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  29. 29. 5429Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  30. 30. 5430Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 La capture réseau Les fichiers créés / droppés Le dump mémoire Le reporting Les captures d’écran
  31. 31. 5431Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LE REPORTING Super, mais j’aime pas les lignes de commandes…
  32. 32. 5432Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 CARACTÉRISTIQUES DU FICHIER
  33. 33. 5433Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LES SIGNATURES Communications réseau Sandboxing détecté !!! Persistance Probablement un dérivé de Zeus
  34. 34. 5434Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 L’ANALYSE STATIQUE Quelques chaînes de caractères intéressantes : • *AC:FA2C7YkYW.vbp • vgybhy, fvgdcf, cvfdezcvg, uhuihiuh, cvfrdsdfvc • Etc…
  35. 35. 5435Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LES FICHIERS CRÉÉS / DROPPÉS
  36. 36. 5436Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 L’ANALYSE DYNAMIQUE Exécution d’opérations au démarrage ou persistance Persistance Récupération du nom de la machine
  37. 37. 5437Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 L’ANALYSE RÉSEAU Surprenant… Ça s’explique…
  38. 38. 5438Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ONVÉRIFIE L’HISTORIQUE… Encore plus surprenant…
  39. 39. 5439Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 RETWEAKING DE LAVM • Désinstallation des VirtualBox guest tools. • Nettoyage du registre (références à VirtualBox). • Nettoyage des fichiers résiduels (références à VirtualBox). • Modifications des drivers. Nouvelle analyse!
  40. 40. 5440Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 NOUVELLES SIGNATURES Ne détecte plus VirtualBox.
  41. 41. 5441Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 TOUT DE SUITE PLUS BAVARD…
  42. 42. 5442Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 AUTRES FORMATS DE REPORTING JSON MAEC XML
  43. 43. 5443Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  44. 44. 5444Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 CUCKOO SANDBOX,OÙ ET QUAND? PRÉVENTIF (LEVÉE DE DOUTE) RÉACTIF (INCIDENT RESPONSE) POST-MORTEM (ANALYSE FORENSIQUE) THREAT INTELLIGENCE (IOC, SIGNATURES) Equipe sécurité SOC, intégration infra. CERT / CSIRT Equipe forensique Prestataires externes Autre… ? ? ? ? Appréciations complètement subjectives…
  45. 45. 5445Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 CONCLUSION • Ne demande pas des connaissances aussi pointues que pour l’analyse manuelle. • La qualité de l’analyse dépend fortement de la capacité d’interprétation des résultats. • L’environnement Cuckoo + VM peut être détectable par certains malwares. • La globalité du code du malware ne sera très probablement pas totalement exécutée. • Comporte toujours un risque (débordement du sandboxing, LAN, etc.)… • Très bonne documentation. • Communauté très active autour du produit. • Automatisable et intégrable au sein d’une architecture.
  46. 46. 5446Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 BONUSUn peu de visualisation avec Maltego
  47. 47. 5447Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
  48. 48. 5448Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
  49. 49. 5449Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
  50. 50. 5450Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
  51. 51. 5451Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
  52. 52. 5452Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 POUR ALLER PLUS LOIN… Malwr: • Version online gratuite de Cuckoo Sandbox. • Parfait pour des tests de malwares «communs». • Attention à la confidentialité!!! • Pas de possibilité de récupérer les dumps mémoire et réseau. Cuckoo Android Extension: • Support de l’émulateur Android ARM pour exécuter des APK’s et des URL. Community.py: • Utilitaire pour télécharger et installer les modules développés par la communauté. El Jefe: • Intégration avec l’outil El Jefe (détection, réponse et traçage des menaces).
  53. 53. 5453Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 QUESTIONS
  54. 54. 5454Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 MERCI! http://www.cuckoosandbox.org Alain Sullam • http://docs.cuckoosandbox.org/en/latest/ • https://www.packtpub.com/networking-and-servers/cuckoo- malware-analysis • https://github.com/a0rtega/pafish • https://github.com/conix-security/zer0m0n • https://github.com/markedoe/cuckoo-sandbox • http://www.inetsim.org/ • https://github.com/cuckoobox/community • https://www.paterva.com/web6/products/maltego.php • https://malwr.com/ • https://eljefe.immunityinc.com/ • https://github.com/idanr1986/cuckoo • https://github.com/xme/cuckoomx sysinsider41 [at] gmail.com https://ch.linkedin.com/in/alainsullam https://github.com/sysinsider Quelques références utiles:

×