Malwares ciblant les systèmes Microsoft Windows

Introduction

Avant d’analyser un malware, il est nécessaire de le trouver. Pour pouvoir l’identifier, il faut collecter diverses informations sur la machine potentiellement infectée. Pour une telle collecte, il est préférable de déconnecter le disque dur de la machine infectée pour le connecter sur une machine saine et travailler à partir de celle-ci. Il ne faut pas travailler sur la machine infectée, les malwares peuvent très bien altérer le fonctionnement de la machine et cacher des informations à l’analyste.

La collecte se fera directement sur le disque dur de la machine infectée. Sur ce disque dur, quatre éléments sont intéressants pour une analyse :

Collecte et analyse de la base de registre

La base de registre est une base de données utilisée par Windows. Elle contient tous les paramètres de configuration du système d’exploitation. Elle prend la forme d’un arbre. Chaque branche contient un ou plusieurs noms, puis un type par nom et une valeur pour chaque nom. La configuration de nombreux outils se trouve dans la base de registre. Par exemple, la configuration du fond d’écran se trouve dans la branche HKEY_CURRENT_USER\Control Panel\Desktop. Elle a pour nom Wallpaper, elle est de type REG_SZ, et a pour valeur le chemin vers le fichier de fond d’écran.

Depuis Windows, elle peut être consultée via la commande regedit.exe.

La base de registre est stockée dans des fichiers. Ces fichiers sont accessibles sur le disque dur de la machine. Voici l’emplacement pour chaque base :

Présentation

Lorsqu’un système d’exploitation est en fonctionnement, toutes les données qu’il traite sont stockées en mémoire. Il est possible de réaliser une image de l’état de la mémoire (appelé dump). Cette image peut ensuite être analysée. Contrairement à la collecte d’informations, la prise d’image mémoire doit se faire directement sur le système infecté en cours de fonctionnement.

Il y a de nombreux avantages à analyser la mémoire plutôt que la machine elle-même. Premièrement, il est très ardu de cacher un malware lors d’un dump mémoire. Quelques preuves de concept existent, notamment par l’utilisation des registres DRX, mais cela reste pour le moment anecdotique. Néanmoins, un dump mémoire est bien plus difficile à tromper qu’un système. Par exemple si un rootkit cachait l’existence d’un processus dans le gestionnaire de tâches, la mémoire utilisée par ce processus serait tout de même allouée et il serait donc visible dans l’image de celle-ci. L’autre avantage est que les binaires sont vus en cours de fonctionnement.

Si un binaire cachait des chaînes de caractères, comme le nom de domaine de son C&C, dans le cas d’une image mémoire il y aurait de fortes chances que ces chaînes soient en clair.

L’analyse de la mémoire est une méthode à mettre en œuvre en priorité dans l’analyses, de malware car le résultat est très impressionnant. Cette méthode permet de lister les processus, de lister les fichiers ouverts par un processus, de lister les connexions réseau, de faire des copies de la mémoire utilisée par un processus, de...

1. Techniques pour rester persistant

Pour qu’un malware soit efficace, il faut qu’il puisse être persistant, c’est-à-dire exécuté à nouveau en cas de redémarrage de la machine infectée. Une piste pour trouver l’existence d’un malware est donc de comprendre les différents mécanismes que peut utiliser un malware pour démarrer avec le système d’exploitation. Il existe plusieurs manières de démarrer un processus avec le système d’exploitation Windows :

Il est donc important de consulter les documentations fournies par Microsoft pour contrôler chacun de ces points d’entrée en fonction de la version du système d’exploitation. Voici une liste non exhaustive de clés de registre et de fichiers qui permettent l’exécution de fichiers :

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] 
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] 

Voici un exemple de fichier permettant de démarrer un processus :

C:\boot.ini 

Les services...

Introduction

Les malwares sont par nature dangereux pour les systèmes d’information. Les analystes doivent donc configurer un environnement afin de ne pas infecter leurs propres machines. Pour cela, les solutions de machines virtuelles sont très pratiques et simples à utiliser. En effet, si le malware est exécuté dans cet environnement cloisonné, l’infection ne pourra pas se propager à la machine de l’analyste, appelée machine hôte.

Cependant, il faut faire attention à certains points. Les solutions de virtualisation permettent de partager des disques ou des répertoires entre la machine hôte et les machines virtuelles. Ces fonctionnalités sont à proscrire ou à utiliser avec une très grande attention. Par exemple, dans le cas d’un ransomware chiffrant certains types de fichiers, si un répertoire de la machine hôte contenant ces types de fichier était partagé avec la machine virtuelle, les fichiers du répertoire seraient bien évidemment chiffrés lors de l’exécution de ce malware.

D’autres points sont également à contrôler. Pour éviter que leurs malwares ne soient trop facilement analysables, certains développeurs de malwares contrôlent si le malware s’exécute bien sur une machine physique et non sur une machine virtuelle. Il convient donc de configurer la machine virtuelle pour qu’elle ressemble autant que possible à une machine physique.

VirtualBox

VirtualBox est une solution de virtualisation libre développée par Oracle et disponible à l’adresse suivante : https://www.virtualbox.org/. Cet outil est très intéressant pour un analyste de malwares, car il est très simple d’utilisation...

1. Informations sur un fichier

rootbsd@lab:~$ file fec60c1e5fbff580d5391bba5dfb161a  
fec60c1e5fbff580d5391bba5dfb161a: PE32 executable (GUI) Intel  
80386, for MS Windows 

Analyse de binaires développés en AutoIt

AutoIt est un langage de script. Les scripts AutoIt permettent d’automatiser des actions sous Windows. Ces scripts peuvent être compilés pour devenir des exécutables entièrement autonomes. L’avantage de ces binaires est qu’ils n’ont pas besoin d’utiliser un interpréteur AutoIt installé sur la machine où est exécuté le binaire.

Certains malwares sont développés avec AutoIt. Il est facile d’identifier les binaires compilés avec AutoIt, car le compilateur ajoute la chaîne de caractères « This is a compiled AutoIt Script. » :

rootbsd@lab:~$ hd ccdd2ad254467516e0dd737216953d6b   
[...] 
00083880  49 00 53 00 45 00 00 00  4e 00 55 00 4c 00 4c 00  | I.S.E...N.U.L.L.| 
00083890  00 00 00 00 00 00 00 00  54 68 69 73 20 69 73 20  | ........This is | 
000838a0  61 20 63 6f 6d 70 69 6c  65 64 20 41 75 74 6f 49  |a compiled AutoI | 
000838b0  74 20 73 63 72 69 70 74  2e 20 41 56 20 72 65 73  |t script. AV res | 
000838c0  65 61 72 63 68 65 72 73  20 70 6c 65 61 73 65 20  | earchers please | 
000838d0  65 6d 61 69 6c 20 61 76  73 75 70 70 6f 72 74 40  |e-mail avsupport@| 
000838e0  61 75 74 6f 69 74 73 63  72 69 70 74 2e 63 6f 6d  | autoitscript.com| 
000838f0  20 66 6f 72 20 73 75 70  70 6f 72 74 2e 00 00 00  | for support.... | 
00083900  22 00 00 00 72 00 75 00  6e 00 61 00 73 00 00 00  |"...r.u.n.a.s... | 
[...] 

Il est possible de décompiler ce type de binaire et de lire les codes sources du script avant compilation. Exe2Aut permet de décompiler ces binaires, il est téléchargeable à...

Introduction

Le format PE (Portable Executable) est le format des exécutables et des bibliothèques sous Windows. Ce format est utilisé par Microsoft depuis Windows 95.

Le format PE a une structure particulière. Il est important pour un analyste de malwares de comprendre cette structure. En effet, tous les malwares actuels jouent avec cette structure (via le packer par exemple). De plus, il est très utile de pouvoir reconnaître ce format.

Lors de l’analyse d’une image mémoire, il est possible de trouver des binaires ou des bibliothèques chargées en mémoire et donc de voir leurs PE.

Schéma du format PE

Le format PE peut être décrit par ce schéma :

typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header  
    WORD   e_magic;                // Magic number  
    WORD   e_cblp;                 // Bytes on last page of file 
    WORD   e_cp;                   // Pages in file  
    WORD   e_crlc;                 // Relocations  
    WORD   e_cparhdr;              //...

Introduction

Afin d’évaluer ce que fait un binaire lors de son exécution, il peut être intéressant de suivre son activité pendant cette exécution. Attention, il est fortement recommandé d’exécuter le binaire dans une machine virtuelle dont on a précédemment fait un snapshot afin de pouvoir restaurer la machine dans son état initial.

Microsoft propose par le biais de Sysinternals un outil permettant d’enregistrer l’activité d’un binaire pendant son exécution. Cet outil s’appelle Process Monitor. Il permet d’enregistrer l’activité au niveau de la base de registre, du système de fichiers et de la couche réseau. Process Monitor peut être téléchargé à l’adresse suivante : http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

En plus de Process Monitor pour surveiller l’activité d’un processus, il est également intéressant de faire des captures réseau complètes afin de voir si le binaire communique avec un serveur extérieur ou non. Et si des communications ont lieu, il est possible de les analyser afin de voir si le protocole utilisé est un protocole connu ou si le malware utilise son propre protocole.

Activité au niveau de la base de registre

Le lancement de Process Monitor se fait en exécutant simplement Procmon.exe. L’interface suivante apparaît :

Pour n’avoir que les informations concernant le binaire à analyser, il faut appliquer des filtres. Pour appliquer un filtre, cliquez sur Filter, puis choisissez Filter.... 

La fenêtre suivante s’ouvre :

Ensuite utilisez les menus déroulants pour filtrer sur le binaire à analyser. Vous pouvez filtrer...

Introduction

En analyse de malwares, les sandboxes (ou bacs à sable, en français) sont des environnements clos et isolés où sont exécutés les malwares. Ces outils enregistrent toutes les activités du sample soumis (activités dans la base de registre, fichiers créés, appels système exécutés...) et finalement génèrent des rapports.

Il existe une sandbox libre, appelée Cuckoo Sandbox. Elle est disponible à l’adresse suivante : http://www.cuckoosandbox.org/. Le principe de Cuckoo Sandbox est simple : elle utilise une machine virtuelle de VirtualBox dans laquelle un agent a été installé, elle démarre cette machine virtuelle, enregistre l’activité du malware, stocke les informations sur la machine hôte et finit par éteindre la machine virtuelle en restaurant un snapshot pour que la machine soit de nouveau propre et opérationnelle pour une nouvelle analyse.

Configuration

La configuration de Cuckoo Sandbox se fait au niveau du répertoire conf/ et principalement grâce au fichier cuckoo.conf.

Voici quelques variables importantes du fichier cuckoo.conf :

Avant de lancer une première analyse, installez l’agent...