Aujourd'hui les Logiciels malveillants sont une menace sérieuse de la sécurité des systèmes d’information, spécialement les malware jamais vus avant. L'objectif de cette conférence est de venir en aide aux professionnels de la sécurité de l’information (Response team, forensic investigator, …) afin d’aborder efficacement ce genre de menace, elle servira de guide pour faire de l'analyse de Malware en fournissant : des définitions, des techniques, des outils à utiliser, une méthodologie et surtout des exemples et études de cas du monde réel.

1. 24/04/2015
Thinking Innovations
MALWARE ANALYSIS
Speaker : FATHI Mohamed Ali C|EH C|HFI v8
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8

2. 24/04/2015
Thinking Innovations
It.solunium@gmail.com
http://test-intrusion.blogspot.com
https://github.com/it-solunium
https://twitter.com/itsolunium
WHOAMI
CONTACT
CERTIFICATIONS (En sécurité)
Directeur des systèmes d’information chez un groupe
Industriel pharmaceutique.
Ethical Hacker & Computer Hacking Forensic
Investigator
https://www.linkedin.com/in/fathimedali
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
AGENDA(Avril – Mai 2015)
11/04/2015 15h
Speaker
Ethical Hacking
Lieu : USTHB
18/04/2015 09h
Speaker
Malware Analysis
Lieu : ESI
09/05/2015 ?
Speaker
Windows Kerberos (The Black days)

3. 24/04/2015
INTRODUCTION
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
INTRODUCTION
Statistiques (2014)
317MILLIONSDe nouveaux Malwares sont créés en 2014
Ce qui équivaut à 1 million
de Malware par jour
Source : Symantec's analysis of security threats in 2014
http://money.cnn.com/2015/04/14/technology/security/cyber-attack-hacks-security/

4. 24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
INTRODUCTION
Etat de l’art
Actuellement, les Hackers travaillent plus rapidement comparant à la
vitesse à laquelle les entreprises se protègent.
Et ils lancent plus d’attaques malveillantes par
rapport aux années précédentes.
Source : Symantec's analysis of security threats in 2014
http://money.cnn.com/2015/04/14/technology/security/cyber-attack-hacks-security/
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
INTRODUCTION
“There are two kinds
of big companies in
the United States:
those who’ve been
hacked and those who
don’t yet know
that they’ve been
hacked.”
Ben Godard
Full time ethical hacker on the Microsoft Office 365
red Team

5. 24/04/2015
CyberMap
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
World Cyber Attacks
CyberMapKaspersky
Source : http://cybermap.kaspersky.com Date : 07/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8

6. 24/04/2015
CyberMapIP Viking
Source : http://map.ipviking.com Date : 07/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
CyberMapDDOS Attacks
Source : http://map.ipviking.com Date : 07/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8

7. 24/04/2015
Hacking2014 Attackers focusing on
older Vulnerabilities
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Anciennes tendances
Vs
Nouvelles tendances
Source: HP Cyber Risk Report 2015
http://www.tripwire.com/state-of-security/
latest-security-news/report-nearly-half-of-known
-attacks-leverage-old-vulnerabilities/
Etude de cas
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
STUXNET

8. 24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Etude de cas : STUXNET
Présentation de STUXNET
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Etude de cas : STUXNET
Les vecteurs d’attaques !

9. 24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Etude de cas : STUXNET
Vecteur d’attaque principal (Les supports de stockage amovibles)
Première vulnérabilité MS10-046
Structure d’un fichier .LNK
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Etude de cas : STUXNET
Vecteurs d’attaque additionnels (Le réseau)
Deuxième vulnérabilité MS10-061
Deuxième vulnérabilité MS10-061
Imprimer (Ecrire) des fichiers dans le répertoire %SYSTEM%
L’exploitation se fait en deux phases :
1) Ecrire les fichiers winsta.exe et sysnullevnt.mof dans les
dossiers systèmes.
2) L’exécution du fichier de script sysnullevnt.mof.

10. 24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Etude de cas : STUXNET
Installation durable
3ème vulnérabilité MS10-073
Le driver Win32k.sys est responsable
de la gestion du clavier
Un index est chargé depuis une librairie
partagée.
Exécution de code.
Vulnérabilité qui cible Windows 2000 et XP.
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Etude de cas : STUXNET
Installation durable
Cinquième vulnérabilité MS10-092
Spécifications de l’enregistrement des tâches:
1- La tâche est stockée dans un simple fichier XML.
2- Ce fichier est enregistré dans : « %SystemRoot%system32Tasks »
3- Le fichier XML en question n’est accessible et modifiable que par la personne
qui l’a ajouté.
4- Ce fichier contient les informations sur l’utilisateur qui l’a créé et le niveau de
privilèges requis pour l’exécuter.
5- Ce fichier est protégé lors de son exécution par une empreinte CRC32.
Elévation de privilèges
Vulnérabilité qui cible Windows Vista, 7 et 2008.

11. 24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Etude de cas : STUXNET
Attaque des systèmes industriels ?
Interceptions des communications entre le PLC et WinCC
SCENARIO RECENT
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Transactions bancaires frauduleuses

12. 24/04/2015
MalwareDyre Wolf (03/04/2015)
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Source : http://thehackernews.com/2015/04/dyre-wolf-banking-malware.html
Analyse de l’attaque :
1- Spear phishing.
2- Lancement du Downloader.
3- Téléchargement & lancement du
Malware. + Propagation.
4- Connexion à un portail de banque
modifié. (Améliorations)
5- Appel téléphonique.
9- Extraction des données.
6- Transfert d’argent.
7- DDos attaque sur le portail de la
banque.
Définitions
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
About Malware Analysis

13. 24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Définitions
Qu’est-ce qu’un Malware ?
Malicious code is “any code added, changed, or removed from a software system to
intentionally cause harm or subvert the system’s intended function”
(McGraw and Morisett, 2000, p. 33).
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Définitions
Pourquoi faire de l’analyse de Malware ?
Afin de (recenser|inventorier)
les damages causés à l’organisation
suite à une infection.
Découvrir et cataloguer des indicateurs
De compromission afin de détecter
d’autres infections où de propagation.
Identifier la où les vulnérabilités exploitées
qui ont mené à la présence du Malware.
Identifier si le responsable de l’attaque
est un Insider où Intruder .

14. 24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Définitions
Pourquoi faire de l’analyse de Malware ?
Mais aussi déterminer le niveau de sophistication
de l’auteur du Malware.
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Définitions
Pourquoi faire de l’analyse de Malware ?
TechniqueMétier
* Quel est l’objectif de ce Malware ?
* Comment il est arrivé là ?
* Qui est entrain de nous cibler ?
* Comment je peux m’en débarrasser ?
* Qu’est-ce qu’on m’a volé ?
* Combien de temps qu’il est là ?
* Comment puis-je le trouver sur d’autres
machines ?
* Comment m’en protéger à l’avenir ?
* Quelle sont les indicateur Network & Host
based qui le révèle ?
* Est-il persistant ?
* Quand a-t-il était écrit, compilé et installé
?
* Est-il basé sur un outil connu ?
* Avec quel langage de programmation l’a-t-
on écrit?
* Packed? Anti-Debugging ? Rootkit ?
L’analyse de Malware est l’action de prendre à part le Malware pour l’étudier.

15. 24/04/2015
Méthodologie
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
For Malware Analysis
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Méthodologie
Etapes à suivre !
Analyse
statique
basique
Analyse
dynamique
statique
Analyse
statique
avancée
Analyse
dynamique
avancée

16. 24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Méthodologie
Analyse statique basique
Analyse
statique
basique
1- Antivirus scanning
2- Hashing : Une empreinte pour le Malware
3- Trouver des chaines de caractères.
4- Détection des Packers & de l’obfuscation de code.
5- Enumération des DLL & fontions.
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Méthodologie
Analyse dynamique basique
1- Mise en place d’un laboratoire virtuel.
2- Exécution du Malware.
3- Monitoring avec Process monitor.
4- Afficher les processus (Process Explorer).
5- Comparer les snapshots du registre.
6- Simuler un réseau.
7- Packet sniffing.
Analyse
dynamique
statique

17. 24/04/2015
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Méthodologie
Analyse statique avancée
1- Déssasembleur.
2- Reconnaitre les Codes Constructs.
3- Analyser un code malveillant sous Windows.
Analyse
statique
avancée
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Méthodologie
Analyse dynamique avancée
Le débogage.
Analyse
dynamique
avancée

18. 24/04/2015
Outils
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
For Malware Analysis
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Outils
Distribution REMnux

19. 24/04/2015
Pour allez plus loin
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Working hard !!!
Malware Analysis
Books
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Malware Analyst’s
Cookbook & DVD
ME : Wiling Publishing Inc
Practical Malware
Analysis
ME : No strach Press
Cuckoo Malware
Analysis
ME : Packt

20. 24/04/2015
Ethical Hacking
Security Policy Review
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
NEXUS 5
Merci pour votre attention
Thinking Innovations FATHI Mohamed Ali C|EH C|HFI v8
Q&A