SlideShare une entreprise Scribd logo

Introduction to malware analysis with Cuckoo Sandbox

S
sysinsider

A short introduction (in French) to malware analysis with Cuckoo Sandbox. This is the slides of a talk given at "Clusis strategic day 2015".

Technologie
1  sur  54
Télécharger pour lire hors ligne
541Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 Cuckoo Sandbox Analyse de malwares automatisée Alain Sullam – Journée stratégique 2015 - CLUSIS
542Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 AGENDA • Les entreprises face aux malwares / APT • Cuckoo sandbox, c’est quoi? • Analyse manuelle vs. automatisée • L’architecture de Cuckoo Sandbox et ses prérequis • La configuration • Points importants de la virtualisation et du sandboxing • Demo et reporting • Etendre et/ou intégrer Cuckoo Sandbox • Conclusion • (Bonus) un peu de visualisation • (Bonus) Pour aller plus loin… • Questions
543Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
544Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 QUELQUES CHIFFRES… LA PERCEPTION 32% Pas vraiment probable 2% Pas du tout probable 49% Probable 17% Très probable 13% Très capable 59% Capable 4% Pas du tout capable 24% Pas vraiment capablePense être la future cible d’une APT Pense être capable de détecter une APT – Isaca APT survey report, 2014
545Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 QUELQUES CHIFFRES (CONT’D)… LA PERCEPTION 24% Pas vraiment capable 4% Pas du tout capable 58% Capable 14% Très capable 11% Très capable 55% Capable 5% Pas du tout capable 29% Pas vraiment capablePense être capable de réagir à une APT Pense être capable de stopper une APT réussie – Isaca APT survey report, 2014
546Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
547Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 67%des victimes ont été averties par une entité tierces/externe 12%des attaques étaient des attaques ciblées 15% des victimes représentent des services financiers 223nombre de jours median de l’APT avant sa détection 325’000nombre de nouveaux fichiers malicieux découverts par jour par Kaspersky 42% Des attaques ont été découvertes par les forces de l’ordre QUELQUES CHIFFRES… LES STATISTIQUES – Mandiant & Kaspersky (Rapports 2013 & 2014)
548Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LES GRANDES QUESTIONS… En cas d’incident, on va naturellement se demander : • Quels fichiers (locaux ou non) ont été accédés, créés, supprimés? • Y-a-t-il eu des communications réseaux, et si oui, lesquelles (internes, externes, multiples, ponctuelles, permanentes, etc.)? • En cas de communications réseaux, quels sont leurs buts / contenus (spamming, (D)DOS, exfiltration de données, etc.) et leurs destinations? • Est-ce une attaque ciblée ou opportuniste? • Est-ce une attaque persistante ou non? • Quel est le périmètre de compromission? • …
549Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 CUCKOO SANDBOX,C’EST QUOI? In three words, Cuckoo Sandbox is a malware analysis system. What does that mean? It simply means that you can throw any suspicious file at it and in a matter of seconds Cuckoo will provide you back some detailed results outlining what such file did when executed inside an isolated environment. – http://www.cuckoosandbox.org • Analyse automatique de fichiers suspicieux • Génération automatisée de rapports (détaillés) • Dans un environnement «sandboxé»
5410Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 OPEN SOURCEVS.PRODUITS COMMERCIAUX ( ) Anubis Sandbox *online * * *
5411Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 EXÉCUTABLESWINDOWS COMMENT ÇA FONCTIONNE? FICHIERS DLL DOCUMENTS PDF DOCUMENTS MICROSOFT OFFICE URLS ET FICHIERS HTML SCRIPTS PHP,VBS FICHIERS CPL,ZIP,JAR ET PRESQUE N’IMPORTE QUOI D’AUTRE… RAPPORTS SOUS DIFFÉRENTS FORMATS TRACES DES APPELS WIN32 FICHIERS CRÉÉS, MODIFIÉS, EFFACÉS, TÉLÉCHARGÉS DUMP DU PROCESS ANALYSÉ TRACES RÉSEAU AU FORMAT PCAP CAPTURES D’ÉCRAN DURANT L’EXÉCUTION DUMP MÉMOIRE COMPLET DE LA MACHINE,RÉSULTATS VIRUSTOTAL,ETC… ANALYSE AUTOMATISÉE
5412Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 DESASSEMBLAGE DECOMPILATION ASSEMBLEUR,C/C++, IDA PRO, HOPPER,OLLYDBG,ETC. SYSTEMES D’EXPLOITATION FONCTIONNEMENT BAS NIVEAU, APPELS SYSTÈMES,GESTION MÉMOIRE, SYSTÈMES DE FICHIERS, REGISTRE,APIWINDOWS, ETC. RESEAU CONNAISSANCES DES PROTOCOLES STANDARDS, FUZZING DE PROTOCOLES, CONCEPTS TCP/IP,ETC. CRYPTOGRAPHIE CONNAISSANCES DES ALGOS STANDARDS ET EXOTIQUES, DE LEURS IMPLÉMENTATIONS ETC. PACKERS OBFUSCATION DÉTECTION DE PACKER, UNPACKING, DÉSOBFUSCATION, ETC. ETC… (ANTI-)DEBBUGING, (ANTI-)FORENSIC, HONEYPOTTING, SANDBOXING, ETC. L’ANALYSE MANUELLE LES COMPÉTENCES REQUISES
5413Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ANALYSE MANUELLEVS.AUTOMATISÉE VS.
5414Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ANALYSE MANUELLEVS.AUTOMATISÉE ReportingAcquisition soumission Analyse statique Analyse dynamique Analyse mémoire Analyse réseau Analyse manuelle approfondie
5415Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ARCHITECTURE Internet / Sinkhole / Aucune connexion Réseau virtuel Hôte Cuckoo - Hyperviseur - Démarre l’analyse - Dump le trafic - Génère les rapports VM cibles - environnement à infecter et à analyser VM analysée N°1 VM analysée N°2 VM analysée N°...
5416Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ARCHITECTURE Cuckoo main server Cuckoo web server Cuckoo web service (REST) Internet Sinkhole / Simu. Windows Agent.py Applications tierces Etendre Cuckoo:  Maltego  El Jefe  Etc... Utilisateur Cuckoo Sandbox VM Intégrer Cuckoo dans l’infrastructure:  CuckooMX  El Jefe  SOC  CERT, CSIRT  Etc...
5417Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 FLUX D’EXÉCUTION Soumission du sample 1 Analyse statique 2 Retour au snapshot clean 3 Démarrage de la VM 4 Transfert du malware à la VM 5 Lancement du monitoring 6 Exécution du malware 7 Arrêt du monitoring 8 Suspension de la VM 9 Acquisition du dump mémoire 10 Analyse du dump réseau 11 Reporting 12
5418Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 PRÉREQUIS (HÔTE) Hardware : • Les prérequis habituels pour de la virtualisation (CPU’s, RAM et HDD) Software : • Linux (Debian, Ubuntu, etc.), Windows et MacOsX possibles en théorie. • Un hyperviseur (Théoriquement ouvert à plusieurs système mais VirtualBox reste fortement conseillé). • Python (version 2.7 fortement conseillée). • SQLAlchemy, Python BSON, Tcpdump, Volatility, DPKT, Jinja2, Magic, Pydeep, MongoDB, Pymongo, Yara, Yara Python, Libvirt, Bottlepy, Django, Pefile, MAEC Python bindings, Chardet.
5419Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 PRÉREQUIS OBLIGATOIRES (GUEST) vHardware : • Les prérequis habituels pour de la virtualisation (CPU’s, RAM et HDD). Software : • Windows XP SP3 (Windows 7, UAC désactivé). • Logiciels tiers (Office, Adobe reader, navigateurs, etc.) • Désactivation du firewall. • Désactivation des mises à jour automatiques. • Python 2.7 + PIL for Python. • Cuckoo agent.py (agent.pyw). • Paramétrer le réseau. • Activer le login automatique. • SNAPSHOT!
5420Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LA CONFIGURATION 6 fichiers de configuration principaux : • cuckoo.conf : Configuration générale et options d’analyse. • auxiliary.conf : Configuration des modules auxiliaires (ex: capture réseau). • <machinery>.conf : Configuration de la virtualisation. • memory.conf : Configuration de l’analyse mémoire (Volatility framework). • processing.conf : Activation / désactivation des étapes d’analyse. • reporting.conf : Configuration du reporting.
5421Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 QUELQUES POINTS IMPORTANTS Un environnement isolé n’est que rarement sûr à 100%: • Cuckoo Sandbox (Evasion) : http://cuckoosandbox.org/2014-10-07- cuckoo-sandbox-111.html • Oracle VirtualBox : CVE-2014-4261, CVE-2014-4228, CVE-2014-2489, etc… • Instructions CPU non virtualisables, offloading (interface réseau) Lors de l’attribution de l’accès internet au malware, attention aux infections sur le LAN: • Solution (partielle) : Simulation de services réseau (ex : InetSim) Un environnement sandboxé et/ou virtualisé peut être détecté par certains malwares: • Test : Pafish https://github.com/a0rtega/pafish • Solution (partielle) : Zer0m0n ou Markedoe + tweak(s) manuel(s)…
5422Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ANTI DÉTECTION :VM
5423Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ANTI DÉTECTION :VM + CUCKOO
5424Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 DÉTECTION :VM + CUCKOO + TWEAKING
5425Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 DEMOLa facture Zalando
5426Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
5427Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
5428Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
5429Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
5430Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 La capture réseau Les fichiers créés / droppés Le dump mémoire Le reporting Les captures d’écran
5431Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LE REPORTING Super, mais j’aime pas les lignes de commandes…
5432Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 CARACTÉRISTIQUES DU FICHIER
5433Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LES SIGNATURES Communications réseau Sandboxing détecté !!! Persistance Probablement un dérivé de Zeus
5434Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 L’ANALYSE STATIQUE Quelques chaînes de caractères intéressantes : • *AC:FA2C7YkYW.vbp • vgybhy, fvgdcf, cvfdezcvg, uhuihiuh, cvfrdsdfvc • Etc…
5435Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LES FICHIERS CRÉÉS / DROPPÉS
5436Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 L’ANALYSE DYNAMIQUE Exécution d’opérations au démarrage ou persistance Persistance Récupération du nom de la machine
5437Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 L’ANALYSE RÉSEAU Surprenant… Ça s’explique…
5438Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ONVÉRIFIE L’HISTORIQUE… Encore plus surprenant…
5439Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 RETWEAKING DE LAVM • Désinstallation des VirtualBox guest tools. • Nettoyage du registre (références à VirtualBox). • Nettoyage des fichiers résiduels (références à VirtualBox). • Modifications des drivers. Nouvelle analyse!
5440Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 NOUVELLES SIGNATURES Ne détecte plus VirtualBox.
5441Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 TOUT DE SUITE PLUS BAVARD…
5442Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 AUTRES FORMATS DE REPORTING JSON MAEC XML
5443Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
5444Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 CUCKOO SANDBOX,OÙ ET QUAND? PRÉVENTIF (LEVÉE DE DOUTE) RÉACTIF (INCIDENT RESPONSE) POST-MORTEM (ANALYSE FORENSIQUE) THREAT INTELLIGENCE (IOC, SIGNATURES) Equipe sécurité SOC, intégration infra. CERT / CSIRT Equipe forensique Prestataires externes Autre… ? ? ? ? Appréciations complètement subjectives…
5445Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 CONCLUSION • Ne demande pas des connaissances aussi pointues que pour l’analyse manuelle. • La qualité de l’analyse dépend fortement de la capacité d’interprétation des résultats. • L’environnement Cuckoo + VM peut être détectable par certains malwares. • La globalité du code du malware ne sera très probablement pas totalement exécutée. • Comporte toujours un risque (débordement du sandboxing, LAN, etc.)… • Très bonne documentation. • Communauté très active autour du produit. • Automatisable et intégrable au sein d’une architecture.
5446Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 BONUSUn peu de visualisation avec Maltego
5447Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
5448Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
5449Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
5450Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
5451Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
5452Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 POUR ALLER PLUS LOIN… Malwr: • Version online gratuite de Cuckoo Sandbox. • Parfait pour des tests de malwares «communs». • Attention à la confidentialité!!! • Pas de possibilité de récupérer les dumps mémoire et réseau. Cuckoo Android Extension: • Support de l’émulateur Android ARM pour exécuter des APK’s et des URL. Community.py: • Utilitaire pour télécharger et installer les modules développés par la communauté. El Jefe: • Intégration avec l’outil El Jefe (détection, réponse et traçage des menaces).
5453Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 QUESTIONS
5454Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 MERCI! http://www.cuckoosandbox.org Alain Sullam • http://docs.cuckoosandbox.org/en/latest/ • https://www.packtpub.com/networking-and-servers/cuckoo- malware-analysis • https://github.com/a0rtega/pafish • https://github.com/conix-security/zer0m0n • https://github.com/markedoe/cuckoo-sandbox • http://www.inetsim.org/ • https://github.com/cuckoobox/community • https://www.paterva.com/web6/products/maltego.php • https://malwr.com/ • https://eljefe.immunityinc.com/ • https://github.com/idanr1986/cuckoo • https://github.com/xme/cuckoomx sysinsider41 [at] gmail.com https://ch.linkedin.com/in/alainsullam https://github.com/sysinsider Quelques références utiles:

Recommandé

Sandbox technology
Sandbox technologySandbox technology
Sandbox technologyZakaria Aouad
 
Rapport Splunk.pdf
Rapport Splunk.pdfRapport Splunk.pdf
Rapport Splunk.pdfHichemKhalfi
 
Investigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkInvestigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkIbrahimous
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm
 
Présentation intelligence artificielle et domaines d'applications - #DigitalT...
Présentation intelligence artificielle et domaines d'applications - #DigitalT...Présentation intelligence artificielle et domaines d'applications - #DigitalT...
Présentation intelligence artificielle et domaines d'applications - #DigitalT...Digital Thursday
 
Mémoire de Master 2
Mémoire de Master 2Mémoire de Master 2
Mémoire de Master 2Montrésor Konan
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
 
Sécurité des salles serveurs - critères et contraintes de conception
Sécurité des salles serveurs - critères et contraintes de conceptionSécurité des salles serveurs - critères et contraintes de conception
Sécurité des salles serveurs - critères et contraintes de conceptionAlexandre STANURSKI
 

Recommandé

Sandbox technology
Sandbox technologySandbox technology
Sandbox technologyZakaria Aouad
 
Rapport Splunk.pdf
Rapport Splunk.pdfRapport Splunk.pdf
Rapport Splunk.pdfHichemKhalfi
 
Investigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkInvestigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkIbrahimous
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm
 
Présentation intelligence artificielle et domaines d'applications - #DigitalT...
Présentation intelligence artificielle et domaines d'applications - #DigitalT...Présentation intelligence artificielle et domaines d'applications - #DigitalT...
Présentation intelligence artificielle et domaines d'applications - #DigitalT...Digital Thursday
 
Mémoire de Master 2
Mémoire de Master 2Mémoire de Master 2
Mémoire de Master 2Montrésor Konan
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
 
Sécurité des salles serveurs - critères et contraintes de conception
Sécurité des salles serveurs - critères et contraintes de conceptionSécurité des salles serveurs - critères et contraintes de conception
Sécurité des salles serveurs - critères et contraintes de conceptionAlexandre STANURSKI
 
[SINS] Présentation de Nagios
[SINS] Présentation de Nagios[SINS] Présentation de Nagios
[SINS] Présentation de Nagiosjeyg
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?Antoine Vigneron
 
Rapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Rapport administration systèmes et supervision réseaux tp4 diabang master1 trRapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Rapport administration systèmes et supervision réseaux tp4 diabang master1 trCheikh Tidiane DIABANG
 
Mise en place d'une solution de détection des pirates et des malwares dans le...
Mise en place d'une solution de détection des pirates et des malwares dans le...Mise en place d'une solution de détection des pirates et des malwares dans le...
Mise en place d'une solution de détection des pirates et des malwares dans le...Mohamed Ben Bouzid
 
Alphorm.com Formation Blockchain : Maîtriser les Smart Contracts
Alphorm.com Formation Blockchain : Maîtriser les Smart ContractsAlphorm.com Formation Blockchain : Maîtriser les Smart Contracts
Alphorm.com Formation Blockchain : Maîtriser les Smart ContractsAlphorm
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligenceMondher Smii
 
Présentation blockchain v2
Présentation blockchain v2Présentation blockchain v2
Présentation blockchain v2Amine HAMOUDA
 
Rapport interface terminal
Rapport interface terminalRapport interface terminal
Rapport interface terminalBelwafi Bilel
 
Rapport de projet de fin d’étude
Rapport de projet de fin d’étudeRapport de projet de fin d’étude
Rapport de projet de fin d’étudeOumaimaOuedherfi
 
Rapport Stage Ouvrier - Application J2EE - Haroun SMIDA
Rapport Stage Ouvrier - Application J2EE - Haroun SMIDARapport Stage Ouvrier - Application J2EE - Haroun SMIDA
Rapport Stage Ouvrier - Application J2EE - Haroun SMIDAHaroun SMIDA
 
MQTT avec Mosquitto et Paho - Laurent Guerin - JUG Nantes Nov 2018
MQTT avec Mosquitto et Paho - Laurent Guerin - JUG Nantes Nov 2018MQTT avec Mosquitto et Paho - Laurent Guerin - JUG Nantes Nov 2018
MQTT avec Mosquitto et Paho - Laurent Guerin - JUG Nantes Nov 2018Laurent Guérin
 
Mise en-place-d-une-gestion-electronique-de-document
Mise en-place-d-une-gestion-electronique-de-documentMise en-place-d-une-gestion-electronique-de-document
Mise en-place-d-une-gestion-electronique-de-documentCyrille Roméo Bakagna
 
Projet réalisé par ameny Khedhira & Arij Mekki
Projet réalisé par ameny Khedhira & Arij MekkiProjet réalisé par ameny Khedhira & Arij Mekki
Projet réalisé par ameny Khedhira & Arij MekkiAmeny Khedhira
 
Defend Your Data Now with the MITRE ATT&CK Framework
Defend Your Data Now with the MITRE ATT&CK FrameworkDefend Your Data Now with the MITRE ATT&CK Framework
Defend Your Data Now with the MITRE ATT&CK FrameworkTripwire
 
Cours linux complet
Cours linux completCours linux complet
Cours linux completaubin82
 
IHM
IHMIHM
IHMJulie Avec E
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionIntissar Dguechi
 
A Distributed Malware Analysis System Cuckoo Sandbox
A Distributed Malware Analysis System Cuckoo SandboxA Distributed Malware Analysis System Cuckoo Sandbox
A Distributed Malware Analysis System Cuckoo SandboxAndy Lee
 
Soutenance (thèse de doctorat de Aymen BAOUAB)
Soutenance (thèse de doctorat de Aymen BAOUAB) Soutenance (thèse de doctorat de Aymen BAOUAB)
Soutenance (thèse de doctorat de Aymen BAOUAB) baouab
 
Conception et Réalisation d'un Système Intégré de Vote Electronique cas: Haiti
Conception et Réalisation d'un Système Intégré de Vote Electronique cas: HaitiConception et Réalisation d'un Système Intégré de Vote Electronique cas: Haiti
Conception et Réalisation d'un Système Intégré de Vote Electronique cas: HaitiCarlos Philippe
 
Business Strategic Analysis of RyanAir
Business Strategic Analysis of RyanAirBusiness Strategic Analysis of RyanAir
Business Strategic Analysis of RyanAirUdara Seneviratne
 
Analyse stratégique du secteur des SmartWorkCenter : le cas Euptouyou
Analyse stratégique du secteur des SmartWorkCenter : le cas EuptouyouAnalyse stratégique du secteur des SmartWorkCenter : le cas Euptouyou
Analyse stratégique du secteur des SmartWorkCenter : le cas Euptouyoushapers.xyz
 

Contenu connexe

Tendances

[SINS] Présentation de Nagios
[SINS] Présentation de Nagios[SINS] Présentation de Nagios
[SINS] Présentation de Nagiosjeyg
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?Antoine Vigneron
 
Rapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Rapport administration systèmes et supervision réseaux tp4 diabang master1 trRapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Rapport administration systèmes et supervision réseaux tp4 diabang master1 trCheikh Tidiane DIABANG
 
Mise en place d'une solution de détection des pirates et des malwares dans le...
Mise en place d'une solution de détection des pirates et des malwares dans le...Mise en place d'une solution de détection des pirates et des malwares dans le...
Mise en place d'une solution de détection des pirates et des malwares dans le...Mohamed Ben Bouzid
 
Alphorm.com Formation Blockchain : Maîtriser les Smart Contracts
Alphorm.com Formation Blockchain : Maîtriser les Smart ContractsAlphorm.com Formation Blockchain : Maîtriser les Smart Contracts
Alphorm.com Formation Blockchain : Maîtriser les Smart ContractsAlphorm
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligenceMondher Smii
 
Présentation blockchain v2
Présentation blockchain v2Présentation blockchain v2
Présentation blockchain v2Amine HAMOUDA
 
Rapport interface terminal
Rapport interface terminalRapport interface terminal
Rapport interface terminalBelwafi Bilel
 
Rapport de projet de fin d’étude
Rapport de projet de fin d’étudeRapport de projet de fin d’étude
Rapport de projet de fin d’étudeOumaimaOuedherfi
 
Rapport Stage Ouvrier - Application J2EE - Haroun SMIDA
Rapport Stage Ouvrier - Application J2EE - Haroun SMIDARapport Stage Ouvrier - Application J2EE - Haroun SMIDA
Rapport Stage Ouvrier - Application J2EE - Haroun SMIDAHaroun SMIDA
 
MQTT avec Mosquitto et Paho - Laurent Guerin - JUG Nantes Nov 2018
MQTT avec Mosquitto et Paho - Laurent Guerin - JUG Nantes Nov 2018MQTT avec Mosquitto et Paho - Laurent Guerin - JUG Nantes Nov 2018
MQTT avec Mosquitto et Paho - Laurent Guerin - JUG Nantes Nov 2018Laurent Guérin
 
Mise en-place-d-une-gestion-electronique-de-document
Mise en-place-d-une-gestion-electronique-de-documentMise en-place-d-une-gestion-electronique-de-document
Mise en-place-d-une-gestion-electronique-de-documentCyrille Roméo Bakagna
 
Projet réalisé par ameny Khedhira & Arij Mekki
Projet réalisé par ameny Khedhira & Arij MekkiProjet réalisé par ameny Khedhira & Arij Mekki
Projet réalisé par ameny Khedhira & Arij MekkiAmeny Khedhira
 
Defend Your Data Now with the MITRE ATT&CK Framework
Defend Your Data Now with the MITRE ATT&CK FrameworkDefend Your Data Now with the MITRE ATT&CK Framework
Defend Your Data Now with the MITRE ATT&CK FrameworkTripwire
 
Cours linux complet
Cours linux completCours linux complet
Cours linux completaubin82
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionIntissar Dguechi
 
A Distributed Malware Analysis System Cuckoo Sandbox
A Distributed Malware Analysis System Cuckoo SandboxA Distributed Malware Analysis System Cuckoo Sandbox
A Distributed Malware Analysis System Cuckoo SandboxAndy Lee
 
Soutenance (thèse de doctorat de Aymen BAOUAB)
Soutenance (thèse de doctorat de Aymen BAOUAB) Soutenance (thèse de doctorat de Aymen BAOUAB)
Soutenance (thèse de doctorat de Aymen BAOUAB) baouab
 
Conception et Réalisation d'un Système Intégré de Vote Electronique cas: Haiti
Conception et Réalisation d'un Système Intégré de Vote Electronique cas: HaitiConception et Réalisation d'un Système Intégré de Vote Electronique cas: Haiti
Conception et Réalisation d'un Système Intégré de Vote Electronique cas: HaitiCarlos Philippe
 

Tendances (20)

[SINS] Présentation de Nagios
[SINS] Présentation de Nagios[SINS] Présentation de Nagios
[SINS] Présentation de Nagios
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?
 
Rapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Rapport administration systèmes et supervision réseaux tp4 diabang master1 trRapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Rapport administration systèmes et supervision réseaux tp4 diabang master1 tr
 
Mise en place d'une solution de détection des pirates et des malwares dans le...
Mise en place d'une solution de détection des pirates et des malwares dans le...Mise en place d'une solution de détection des pirates et des malwares dans le...
Mise en place d'une solution de détection des pirates et des malwares dans le...
 
Alphorm.com Formation Blockchain : Maîtriser les Smart Contracts
Alphorm.com Formation Blockchain : Maîtriser les Smart ContractsAlphorm.com Formation Blockchain : Maîtriser les Smart Contracts
Alphorm.com Formation Blockchain : Maîtriser les Smart Contracts
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligence
 
Présentation blockchain v2
Présentation blockchain v2Présentation blockchain v2
Présentation blockchain v2
 
Rapport interface terminal
Rapport interface terminalRapport interface terminal
Rapport interface terminal
 
Rapport de projet de fin d’étude
Rapport de projet de fin d’étudeRapport de projet de fin d’étude
Rapport de projet de fin d’étude
 
Rapport Stage Ouvrier - Application J2EE - Haroun SMIDA
Rapport Stage Ouvrier - Application J2EE - Haroun SMIDARapport Stage Ouvrier - Application J2EE - Haroun SMIDA
Rapport Stage Ouvrier - Application J2EE - Haroun SMIDA
 
MQTT avec Mosquitto et Paho - Laurent Guerin - JUG Nantes Nov 2018
MQTT avec Mosquitto et Paho - Laurent Guerin - JUG Nantes Nov 2018MQTT avec Mosquitto et Paho - Laurent Guerin - JUG Nantes Nov 2018
MQTT avec Mosquitto et Paho - Laurent Guerin - JUG Nantes Nov 2018
 
Mise en-place-d-une-gestion-electronique-de-document
Mise en-place-d-une-gestion-electronique-de-documentMise en-place-d-une-gestion-electronique-de-document
Mise en-place-d-une-gestion-electronique-de-document
 
Projet réalisé par ameny Khedhira & Arij Mekki
Projet réalisé par ameny Khedhira & Arij MekkiProjet réalisé par ameny Khedhira & Arij Mekki
Projet réalisé par ameny Khedhira & Arij Mekki
 
Defend Your Data Now with the MITRE ATT&CK Framework
Defend Your Data Now with the MITRE ATT&CK FrameworkDefend Your Data Now with the MITRE ATT&CK Framework
Defend Your Data Now with the MITRE ATT&CK Framework
 
Cours linux complet
Cours linux completCours linux complet
Cours linux complet
 
IHM
IHMIHM
IHM
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusion
 
A Distributed Malware Analysis System Cuckoo Sandbox
A Distributed Malware Analysis System Cuckoo SandboxA Distributed Malware Analysis System Cuckoo Sandbox
A Distributed Malware Analysis System Cuckoo Sandbox
 
Soutenance (thèse de doctorat de Aymen BAOUAB)
Soutenance (thèse de doctorat de Aymen BAOUAB) Soutenance (thèse de doctorat de Aymen BAOUAB)
Soutenance (thèse de doctorat de Aymen BAOUAB)
 
Conception et Réalisation d'un Système Intégré de Vote Electronique cas: Haiti
Conception et Réalisation d'un Système Intégré de Vote Electronique cas: HaitiConception et Réalisation d'un Système Intégré de Vote Electronique cas: Haiti
Conception et Réalisation d'un Système Intégré de Vote Electronique cas: Haiti
 

En vedette

Business Strategic Analysis of RyanAir
Business Strategic Analysis of RyanAirBusiness Strategic Analysis of RyanAir
Business Strategic Analysis of RyanAirUdara Seneviratne
 
Analyse stratégique du secteur des SmartWorkCenter : le cas Euptouyou
Analyse stratégique du secteur des SmartWorkCenter : le cas EuptouyouAnalyse stratégique du secteur des SmartWorkCenter : le cas Euptouyou
Analyse stratégique du secteur des SmartWorkCenter : le cas Euptouyoushapers.xyz
 
Strategic analysis & planning for NGOs engl
Strategic analysis & planning for NGOs englStrategic analysis & planning for NGOs engl
Strategic analysis & planning for NGOs englregiosuisse
 
Suntech Solar Strategic Analysis
Suntech Solar Strategic AnalysisSuntech Solar Strategic Analysis
Suntech Solar Strategic AnalysisTeo Tertel
 
Bertrand Meslier Analyse Stratégique Tf1
Bertrand Meslier Analyse Stratégique Tf1Bertrand Meslier Analyse Stratégique Tf1
Bertrand Meslier Analyse Stratégique Tf1Bertrand Meslier
 
Google case study
Google case studyGoogle case study
Google case studypellat
 
Marché drone civil professionnel : Point de situation et principales levées d...
Marché drone civil professionnel : Point de situation et principales levées d...Marché drone civil professionnel : Point de situation et principales levées d...
Marché drone civil professionnel : Point de situation et principales levées d...Antoni AUDINET
 
Analyse stratégique 7UP et Philip Morris
Analyse stratégique 7UP et Philip MorrisAnalyse stratégique 7UP et Philip Morris
Analyse stratégique 7UP et Philip MorrisDavid Metge
 
Étude de cas "Havaianas"
Étude de cas "Havaianas"Étude de cas "Havaianas"
Étude de cas "Havaianas"Charles BENIGNO
 
FBS ESCEM - Analyse Stratégique VEOLIA 2013
FBS ESCEM - Analyse Stratégique VEOLIA 2013FBS ESCEM - Analyse Stratégique VEOLIA 2013
FBS ESCEM - Analyse Stratégique VEOLIA 2013HubertMalgat
 
Presentation de Lego
Presentation de LegoPresentation de Lego
Presentation de LegoNicolas ODIN
 
Analyse Stratégique : SHAZAM
Analyse Stratégique : SHAZAMAnalyse Stratégique : SHAZAM
Analyse Stratégique : SHAZAMLéa Lescou
 
Strategic Analysis - Sanofi Aventis
Strategic Analysis - Sanofi AventisStrategic Analysis - Sanofi Aventis
Strategic Analysis - Sanofi AventisBruno Rakotozafy
 
Analyse strategique
Analyse strategiqueAnalyse strategique
Analyse strategiqueAmira Askira
 

En vedette (20)

Business Strategic Analysis of RyanAir
Business Strategic Analysis of RyanAirBusiness Strategic Analysis of RyanAir
Business Strategic Analysis of RyanAir
 
Analyse stratégique du secteur des SmartWorkCenter : le cas Euptouyou
Analyse stratégique du secteur des SmartWorkCenter : le cas EuptouyouAnalyse stratégique du secteur des SmartWorkCenter : le cas Euptouyou
Analyse stratégique du secteur des SmartWorkCenter : le cas Euptouyou
 
Strategic analysis & planning for NGOs engl
Strategic analysis & planning for NGOs englStrategic analysis & planning for NGOs engl
Strategic analysis & planning for NGOs engl
 
présentation de starbucks
présentation de starbucks présentation de starbucks
présentation de starbucks
 
Suntech Solar Strategic Analysis
Suntech Solar Strategic AnalysisSuntech Solar Strategic Analysis
Suntech Solar Strategic Analysis
 
Bertrand Meslier Analyse Stratégique Tf1
Bertrand Meslier Analyse Stratégique Tf1Bertrand Meslier Analyse Stratégique Tf1
Bertrand Meslier Analyse Stratégique Tf1
 
Google case study
Google case studyGoogle case study
Google case study
 
Strategie militaire
Strategie militaireStrategie militaire
Strategie militaire
 
Analyse strategique
Analyse strategiqueAnalyse strategique
Analyse strategique
 
Marché drone civil professionnel : Point de situation et principales levées d...
Marché drone civil professionnel : Point de situation et principales levées d...Marché drone civil professionnel : Point de situation et principales levées d...
Marché drone civil professionnel : Point de situation et principales levées d...
 
Analyse stratégique 7UP et Philip Morris
Analyse stratégique 7UP et Philip MorrisAnalyse stratégique 7UP et Philip Morris
Analyse stratégique 7UP et Philip Morris
 
Étude de cas "Havaianas"
Étude de cas "Havaianas"Étude de cas "Havaianas"
Étude de cas "Havaianas"
 
FBS ESCEM - Analyse Stratégique VEOLIA 2013
FBS ESCEM - Analyse Stratégique VEOLIA 2013FBS ESCEM - Analyse Stratégique VEOLIA 2013
FBS ESCEM - Analyse Stratégique VEOLIA 2013
 
Analyse stratégique
Analyse stratégique Analyse stratégique
Analyse stratégique
 
Presentation de Lego
Presentation de LegoPresentation de Lego
Presentation de Lego
 
Analyse Stratégique : SHAZAM
Analyse Stratégique : SHAZAMAnalyse Stratégique : SHAZAM
Analyse Stratégique : SHAZAM
 
Stratégie entreprise cegos
Stratégie entreprise cegosStratégie entreprise cegos
Stratégie entreprise cegos
 
Analyse strategique
Analyse strategiqueAnalyse strategique
Analyse strategique
 
Strategic Analysis - Sanofi Aventis
Strategic Analysis - Sanofi AventisStrategic Analysis - Sanofi Aventis
Strategic Analysis - Sanofi Aventis
 
Analyse strategique
Analyse strategiqueAnalyse strategique
Analyse strategique
 

Similaire à Introduction to malware analysis with Cuckoo Sandbox

Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesJean-Baptiste Guerraz
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesSkilld
 
Le «Cloud computing »: Hype passager ou tendance lourde?P-Roberge
Le «Cloud computing »: Hype passager ou tendance lourde?P-Roberge Le «Cloud computing »: Hype passager ou tendance lourde?P-Roberge
Le «Cloud computing »: Hype passager ou tendance lourde?P-Roberge nst2011
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
Inria Tech Talk : Respect des données personnelles avec PlugDB
Inria Tech Talk : Respect des données personnelles avec PlugDBInria Tech Talk : Respect des données personnelles avec PlugDB
Inria Tech Talk : Respect des données personnelles avec PlugDBStéphanie Roger
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeGeeks Anonymes
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3PRONETIS
 
Infonuagique retour d'expérience
Infonuagique retour d'expérience Infonuagique retour d'expérience
Infonuagique retour d'expérienceClaude Coulombe
 
Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des servicesGARRIDOJulien
 
Etude Uima Gate Open Nlp
Etude Uima Gate Open NlpEtude Uima Gate Open Nlp
Etude Uima Gate Open NlpRadwenAniba
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - DiaporamaASIP Santé
 
Comment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODComment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODMarc Rousselet
 
Introduction à la veille sur le web
Introduction à la veille sur le webIntroduction à la veille sur le web
Introduction à la veille sur le webQuentin Adam
 

Similaire à Introduction to malware analysis with Cuckoo Sandbox (20)

Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
 
Données en ligne
Données en ligneDonnées en ligne
Données en ligne
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
 
Le «Cloud computing »: Hype passager ou tendance lourde?P-Roberge
Le «Cloud computing »: Hype passager ou tendance lourde?P-Roberge Le «Cloud computing »: Hype passager ou tendance lourde?P-Roberge
Le «Cloud computing »: Hype passager ou tendance lourde?P-Roberge
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
 
Inria Tech Talk : Respect des données personnelles avec PlugDB
Inria Tech Talk : Respect des données personnelles avec PlugDBInria Tech Talk : Respect des données personnelles avec PlugDB
Inria Tech Talk : Respect des données personnelles avec PlugDB
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 
Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
 
Infonuagique retour d'expérience
Infonuagique retour d'expérience Infonuagique retour d'expérience
Infonuagique retour d'expérience
 
Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des services
 
Etude Uima Gate Open Nlp
Etude Uima Gate Open NlpEtude Uima Gate Open Nlp
Etude Uima Gate Open Nlp
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
 
Snort
SnortSnort
Snort
 
Comment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODComment sécuriser une démarche BYOD
Comment sécuriser une démarche BYOD
 
Introduction à la veille sur le web
Introduction à la veille sur le webIntroduction à la veille sur le web
Introduction à la veille sur le web
 

Introduction to malware analysis with Cuckoo Sandbox

  • 1. 541Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 Cuckoo Sandbox Analyse de malwares automatisée Alain Sullam – Journée stratégique 2015 - CLUSIS
  • 2. 542Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 AGENDA • Les entreprises face aux malwares / APT • Cuckoo sandbox, c’est quoi? • Analyse manuelle vs. automatisée • L’architecture de Cuckoo Sandbox et ses prérequis • La configuration • Points importants de la virtualisation et du sandboxing • Demo et reporting • Etendre et/ou intégrer Cuckoo Sandbox • Conclusion • (Bonus) un peu de visualisation • (Bonus) Pour aller plus loin… • Questions
  • 3. 543Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  • 4. 544Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 QUELQUES CHIFFRES… LA PERCEPTION 32% Pas vraiment probable 2% Pas du tout probable 49% Probable 17% Très probable 13% Très capable 59% Capable 4% Pas du tout capable 24% Pas vraiment capablePense être la future cible d’une APT Pense être capable de détecter une APT – Isaca APT survey report, 2014
  • 5. 545Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 QUELQUES CHIFFRES (CONT’D)… LA PERCEPTION 24% Pas vraiment capable 4% Pas du tout capable 58% Capable 14% Très capable 11% Très capable 55% Capable 5% Pas du tout capable 29% Pas vraiment capablePense être capable de réagir à une APT Pense être capable de stopper une APT réussie – Isaca APT survey report, 2014
  • 6. 546Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  • 7. 547Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 67%des victimes ont été averties par une entité tierces/externe 12%des attaques étaient des attaques ciblées 15% des victimes représentent des services financiers 223nombre de jours median de l’APT avant sa détection 325’000nombre de nouveaux fichiers malicieux découverts par jour par Kaspersky 42% Des attaques ont été découvertes par les forces de l’ordre QUELQUES CHIFFRES… LES STATISTIQUES – Mandiant & Kaspersky (Rapports 2013 & 2014)
  • 8. 548Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LES GRANDES QUESTIONS… En cas d’incident, on va naturellement se demander : • Quels fichiers (locaux ou non) ont été accédés, créés, supprimés? • Y-a-t-il eu des communications réseaux, et si oui, lesquelles (internes, externes, multiples, ponctuelles, permanentes, etc.)? • En cas de communications réseaux, quels sont leurs buts / contenus (spamming, (D)DOS, exfiltration de données, etc.) et leurs destinations? • Est-ce une attaque ciblée ou opportuniste? • Est-ce une attaque persistante ou non? • Quel est le périmètre de compromission? • …
  • 9. 549Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 CUCKOO SANDBOX,C’EST QUOI? In three words, Cuckoo Sandbox is a malware analysis system. What does that mean? It simply means that you can throw any suspicious file at it and in a matter of seconds Cuckoo will provide you back some detailed results outlining what such file did when executed inside an isolated environment. – http://www.cuckoosandbox.org • Analyse automatique de fichiers suspicieux • Génération automatisée de rapports (détaillés) • Dans un environnement «sandboxé»
  • 10. 5410Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 OPEN SOURCEVS.PRODUITS COMMERCIAUX ( ) Anubis Sandbox *online * * *
  • 11. 5411Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 EXÉCUTABLESWINDOWS COMMENT ÇA FONCTIONNE? FICHIERS DLL DOCUMENTS PDF DOCUMENTS MICROSOFT OFFICE URLS ET FICHIERS HTML SCRIPTS PHP,VBS FICHIERS CPL,ZIP,JAR ET PRESQUE N’IMPORTE QUOI D’AUTRE… RAPPORTS SOUS DIFFÉRENTS FORMATS TRACES DES APPELS WIN32 FICHIERS CRÉÉS, MODIFIÉS, EFFACÉS, TÉLÉCHARGÉS DUMP DU PROCESS ANALYSÉ TRACES RÉSEAU AU FORMAT PCAP CAPTURES D’ÉCRAN DURANT L’EXÉCUTION DUMP MÉMOIRE COMPLET DE LA MACHINE,RÉSULTATS VIRUSTOTAL,ETC… ANALYSE AUTOMATISÉE
  • 12. 5412Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 DESASSEMBLAGE DECOMPILATION ASSEMBLEUR,C/C++, IDA PRO, HOPPER,OLLYDBG,ETC. SYSTEMES D’EXPLOITATION FONCTIONNEMENT BAS NIVEAU, APPELS SYSTÈMES,GESTION MÉMOIRE, SYSTÈMES DE FICHIERS, REGISTRE,APIWINDOWS, ETC. RESEAU CONNAISSANCES DES PROTOCOLES STANDARDS, FUZZING DE PROTOCOLES, CONCEPTS TCP/IP,ETC. CRYPTOGRAPHIE CONNAISSANCES DES ALGOS STANDARDS ET EXOTIQUES, DE LEURS IMPLÉMENTATIONS ETC. PACKERS OBFUSCATION DÉTECTION DE PACKER, UNPACKING, DÉSOBFUSCATION, ETC. ETC… (ANTI-)DEBBUGING, (ANTI-)FORENSIC, HONEYPOTTING, SANDBOXING, ETC. L’ANALYSE MANUELLE LES COMPÉTENCES REQUISES
  • 13. 5413Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ANALYSE MANUELLEVS.AUTOMATISÉE VS.
  • 14. 5414Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ANALYSE MANUELLEVS.AUTOMATISÉE ReportingAcquisition soumission Analyse statique Analyse dynamique Analyse mémoire Analyse réseau Analyse manuelle approfondie
  • 15. 5415Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ARCHITECTURE Internet / Sinkhole / Aucune connexion Réseau virtuel Hôte Cuckoo - Hyperviseur - Démarre l’analyse - Dump le trafic - Génère les rapports VM cibles - environnement à infecter et à analyser VM analysée N°1 VM analysée N°2 VM analysée N°...
  • 16. 5416Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ARCHITECTURE Cuckoo main server Cuckoo web server Cuckoo web service (REST) Internet Sinkhole / Simu. Windows Agent.py Applications tierces Etendre Cuckoo:  Maltego  El Jefe  Etc... Utilisateur Cuckoo Sandbox VM Intégrer Cuckoo dans l’infrastructure:  CuckooMX  El Jefe  SOC  CERT, CSIRT  Etc...
  • 17. 5417Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 FLUX D’EXÉCUTION Soumission du sample 1 Analyse statique 2 Retour au snapshot clean 3 Démarrage de la VM 4 Transfert du malware à la VM 5 Lancement du monitoring 6 Exécution du malware 7 Arrêt du monitoring 8 Suspension de la VM 9 Acquisition du dump mémoire 10 Analyse du dump réseau 11 Reporting 12
  • 18. 5418Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 PRÉREQUIS (HÔTE) Hardware : • Les prérequis habituels pour de la virtualisation (CPU’s, RAM et HDD) Software : • Linux (Debian, Ubuntu, etc.), Windows et MacOsX possibles en théorie. • Un hyperviseur (Théoriquement ouvert à plusieurs système mais VirtualBox reste fortement conseillé). • Python (version 2.7 fortement conseillée). • SQLAlchemy, Python BSON, Tcpdump, Volatility, DPKT, Jinja2, Magic, Pydeep, MongoDB, Pymongo, Yara, Yara Python, Libvirt, Bottlepy, Django, Pefile, MAEC Python bindings, Chardet.
  • 19. 5419Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 PRÉREQUIS OBLIGATOIRES (GUEST) vHardware : • Les prérequis habituels pour de la virtualisation (CPU’s, RAM et HDD). Software : • Windows XP SP3 (Windows 7, UAC désactivé). • Logiciels tiers (Office, Adobe reader, navigateurs, etc.) • Désactivation du firewall. • Désactivation des mises à jour automatiques. • Python 2.7 + PIL for Python. • Cuckoo agent.py (agent.pyw). • Paramétrer le réseau. • Activer le login automatique. • SNAPSHOT!
  • 20. 5420Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LA CONFIGURATION 6 fichiers de configuration principaux : • cuckoo.conf : Configuration générale et options d’analyse. • auxiliary.conf : Configuration des modules auxiliaires (ex: capture réseau). • <machinery>.conf : Configuration de la virtualisation. • memory.conf : Configuration de l’analyse mémoire (Volatility framework). • processing.conf : Activation / désactivation des étapes d’analyse. • reporting.conf : Configuration du reporting.
  • 21. 5421Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 QUELQUES POINTS IMPORTANTS Un environnement isolé n’est que rarement sûr à 100%: • Cuckoo Sandbox (Evasion) : http://cuckoosandbox.org/2014-10-07- cuckoo-sandbox-111.html • Oracle VirtualBox : CVE-2014-4261, CVE-2014-4228, CVE-2014-2489, etc… • Instructions CPU non virtualisables, offloading (interface réseau) Lors de l’attribution de l’accès internet au malware, attention aux infections sur le LAN: • Solution (partielle) : Simulation de services réseau (ex : InetSim) Un environnement sandboxé et/ou virtualisé peut être détecté par certains malwares: • Test : Pafish https://github.com/a0rtega/pafish • Solution (partielle) : Zer0m0n ou Markedoe + tweak(s) manuel(s)…
  • 22. 5422Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ANTI DÉTECTION :VM
  • 23. 5423Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ANTI DÉTECTION :VM + CUCKOO
  • 24. 5424Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 DÉTECTION :VM + CUCKOO + TWEAKING
  • 25. 5425Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 DEMOLa facture Zalando
  • 26. 5426Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  • 27. 5427Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  • 28. 5428Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  • 29. 5429Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  • 30. 5430Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 La capture réseau Les fichiers créés / droppés Le dump mémoire Le reporting Les captures d’écran
  • 31. 5431Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LE REPORTING Super, mais j’aime pas les lignes de commandes…
  • 32. 5432Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 CARACTÉRISTIQUES DU FICHIER
  • 33. 5433Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LES SIGNATURES Communications réseau Sandboxing détecté !!! Persistance Probablement un dérivé de Zeus
  • 34. 5434Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 L’ANALYSE STATIQUE Quelques chaînes de caractères intéressantes : • *AC:FA2C7YkYW.vbp • vgybhy, fvgdcf, cvfdezcvg, uhuihiuh, cvfrdsdfvc • Etc…
  • 35. 5435Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 LES FICHIERS CRÉÉS / DROPPÉS
  • 36. 5436Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 L’ANALYSE DYNAMIQUE Exécution d’opérations au démarrage ou persistance Persistance Récupération du nom de la machine
  • 37. 5437Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 L’ANALYSE RÉSEAU Surprenant… Ça s’explique…
  • 38. 5438Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 ONVÉRIFIE L’HISTORIQUE… Encore plus surprenant…
  • 39. 5439Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 RETWEAKING DE LAVM • Désinstallation des VirtualBox guest tools. • Nettoyage du registre (références à VirtualBox). • Nettoyage des fichiers résiduels (références à VirtualBox). • Modifications des drivers. Nouvelle analyse!
  • 40. 5440Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 NOUVELLES SIGNATURES Ne détecte plus VirtualBox.
  • 41. 5441Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 TOUT DE SUITE PLUS BAVARD…
  • 42. 5442Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 AUTRES FORMATS DE REPORTING JSON MAEC XML
  • 43. 5443Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015
  • 44. 5444Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 CUCKOO SANDBOX,OÙ ET QUAND? PRÉVENTIF (LEVÉE DE DOUTE) RÉACTIF (INCIDENT RESPONSE) POST-MORTEM (ANALYSE FORENSIQUE) THREAT INTELLIGENCE (IOC, SIGNATURES) Equipe sécurité SOC, intégration infra. CERT / CSIRT Equipe forensique Prestataires externes Autre… ? ? ? ? Appréciations complètement subjectives…
  • 45. 5445Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 CONCLUSION • Ne demande pas des connaissances aussi pointues que pour l’analyse manuelle. • La qualité de l’analyse dépend fortement de la capacité d’interprétation des résultats. • L’environnement Cuckoo + VM peut être détectable par certains malwares. • La globalité du code du malware ne sera très probablement pas totalement exécutée. • Comporte toujours un risque (débordement du sandboxing, LAN, etc.)… • Très bonne documentation. • Communauté très active autour du produit. • Automatisable et intégrable au sein d’une architecture.
  • 46. 5446Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 BONUSUn peu de visualisation avec Maltego
  • 47. 5447Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
  • 48. 5448Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
  • 49. 5449Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
  • 50. 5450Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
  • 51. 5451Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 UN PEU DEVISUALISATION - MALTEGO
  • 52. 5452Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 POUR ALLER PLUS LOIN… Malwr: • Version online gratuite de Cuckoo Sandbox. • Parfait pour des tests de malwares «communs». • Attention à la confidentialité!!! • Pas de possibilité de récupérer les dumps mémoire et réseau. Cuckoo Android Extension: • Support de l’émulateur Android ARM pour exécuter des APK’s et des URL. Community.py: • Utilitaire pour télécharger et installer les modules développés par la communauté. El Jefe: • Intégration avec l’outil El Jefe (détection, réponse et traçage des menaces).
  • 53. 5453Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 QUESTIONS
  • 54. 5454Alain Sullam  Journée stratégique du CLUSIS  23 janvier 2015 MERCI! http://www.cuckoosandbox.org Alain Sullam • http://docs.cuckoosandbox.org/en/latest/ • https://www.packtpub.com/networking-and-servers/cuckoo- malware-analysis • https://github.com/a0rtega/pafish • https://github.com/conix-security/zer0m0n • https://github.com/markedoe/cuckoo-sandbox • http://www.inetsim.org/ • https://github.com/cuckoobox/community • https://www.paterva.com/web6/products/maltego.php • https://malwr.com/ • https://eljefe.immunityinc.com/ • https://github.com/idanr1986/cuckoo • https://github.com/xme/cuckoomx sysinsider41 [at] gmail.com https://ch.linkedin.com/in/alainsullam https://github.com/sysinsider Quelques références utiles: