Analyse de malware et Threat Intelligence

Empreintes cryptographiques

Les empreintes cryptographiques sont des calculs de condensés permettant d’identifier de manière unique un fichier, quelle que soit sa nature. En effet, un nom de fichier peut être modifié, mais cela restera toujours le même fichier si son contenu n’a pas changé.

Les trois algorithmes de calcul de condensé les plus courants aujourd’hui sont md5, sha1 et sha256. Il est recommandé d’utiliser sha256.

Exemple de calcul du condensé sha256 du fichier military.exe (famille des ransomwares) :

Son sha256 est : 1deb1efad2c469198aabbb618285e2229052273cf654ee5925c2540ded224402.

Pour calculer les condensés sha1 et md5, les commandes Linux sont sha1sum et md5sum. Si nous changeons le nom du fichier, les empreintes restent identiques :

Les empreintes sont évidemment très instables. Si un octet est changé, l’empreinte change également.

À titre d’exemple, nous allons changer un octet dans l’en-tête...

Présentation

Le MITRE, organisme américain à but non lucratif, met à disposition une documentation sur les techniques utilisées par les malwares, par les outils et par les groupes d’attaquants, au sein de plusieurs matrices.

Cette documentation peut être mise à jour par toute personne souhaitant contribuer. Elle est disponible en ligne : https://attack.mitre.org

Il y a trois matrices disponibles représentant des environnements différents sur lesquels vont se jouer les attaques informatiques :

Nous allons présenter la matrice ATT&CK Enterprise, car elle est la plus utilisée et elle est également intégrée dans des outils comme MISP (cf. section MISP).

La matrice décrit une attaque selon plusieurs points de vue appelés tactiques :

Pour chaque tactique, des techniques et sous-techniques sont décrites. Chaque technique a un ID, et chaque sous technique un sous-ID. Voici l’exemple de la technique pass-the-hash :

L’ID est T1550.002. Il correspond à la sous-technique 002 de l’ID T1550. Nous pouvons voir dans la matrice à quoi correspond T1550 (Use Alternate Authentication Material) :

Le site nous permet de voir les liens entre les techniques (ou sous-techniques) et les outils (qui peuvent être des malwares ou non). Il permet également de voir les liens entre les Intrusion Sets et les Threat Actors (cf. section Theat Actor et Intrusion Set).

Voici une capture de l’ensemble des techniques...

Suricata

Suricata est une sonde de détection d’intrusions open source développée par l’OSIF (organisme de surveillance des instituts financiers). Son moteur de détection est basé sur des règles. Il peut être téléchargé ici : https://suricata.io/

Voici l’exemple d’une règle détectant du trafic DNS faisant une résolution du domaine olinaodi.com :

alert dns $HOME_NET any -> any any (msg:"ET MALWARE SunOrcal Reaver 
Domain Observed (olinaodi .com) in DNS Lookup";  
dns.query;  
content:"olinaodi.com";  
fast_pattern;  
nocase; endswith;  
classtype:trojan-activity; 
sid:2024989; rev:4;  
metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, 
attack_target Client_Endpoint, created_at 2017_11_14, deployment 
Perimeter, former_category MALWARE, malware_family SunOrcal, 
malware_family Reaver, performance_impact Low, signature_severity 
Major, updated_at 2022_07_22;) 

Le format d’une règle est le suivant :

action protocol ip_source port_source ip_destination 
port_destination *( keyword: value; *) 

Dans le cadre de notre exemple, l’action est de générer une alerte qui sera inscrite dans le fichier...

Définition

Ces plateformes scannent l’ensemble de l’adressage IPv4 sur différents ports et collectent plusieurs types de données.

Chaque scanner a son propre système de requêtes. Ces données vont nous permettre de suivre des infrastructures spécifiques et par là même les groupes d’attaquants. Si un attaquant utilise une configuration particulière de serveur web et qu’il a été scanné par ces services, il va être possible de trouver d’autres machines avec la même configuration.

Nous allons présenter trois services :

Shodan.io

Le portail de Shodan est accessible via cette...

Généralités

MISP est une plateforme multiutilisateur web développée en PHP, basée sur MariaDB avec de nombreux modules développés en Python. Elle est maintenue par le CIRCL (Computer Incident Response Center Luxembourg, en l’occurrence le CERT du Luxembourg) à l’adresse suivante : https://github.com/MISP/MISP. Les instructions d’installation sont disponibles sur GitHub : https://github.com/MISP/MISP/tree/2.4/INSTALL. Les modules en Python sont disponibles également sur le GitHub du projet : https://github.com/MISP/misp-modules. Des machines virtuelles sont disponibles pour s’entraîner ou faire des tests : https://vm.misp-project.org

Les instances MISP peuvent être reliées entre elles pour s’échanger les différentes informations.

Fonctionnalités

Les indicateurs sont regroupés par événement. Un analyste va créer un événement et lui associer des indicateurs. Les événements que l’utilisateur a le droit de voir se trouvent sur la page d’accueil :

Pour accéder aux informations sur un événement, cliquez sur l’ID.

Les indicateurs sont dans l’événement.

Si un indicateur se trouve dans plusieurs...