• STATISTIQUES
  • Il y a eu un total de 0 membres et 33857 visiteurs sur le site dans les dernières 24h pour un total de 33 857 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Hack this site
    Basic: 11, Realistic: 17, Application: 18, Programming: 12, Extbasic: 14, Javascript: 7, Stego: 17
    Challenges
    [FR] Root-me
    Script: 5, Système: 20, Cracking: 16, Cryptanalyse: 17, Programmation: 8, Réaliste: 11, Réseau: 10, Stéganog...
    Challenges
    [FR] Le site du zero
    Découvrez gratuitement la programmation (C, C++, PHP, MySQL, XHTML, CSS...), Linux, le Mapping, la modé...
    Programmation
    [EN] Security Traps
    Site de challenge qui prétend être construit non pas dans le but de parfaire vos connaissances, mais plutôt dan...
    Challenges
    [EN] HackQuest
    Logic: 12, JavaScript: 14, Applet: 6, CrackIt: 13, Crypto: 11, Internet: 3, Exploit: 7, Stegano: 12, Flash: 1, Programmi...
    Challenges
    [EN] Lost-chall
    Site de challenge présenté sous la forme de différente saison. Pour passer une saison vous devez avoir accumulÃ...
    Challenges
    [EN] Listbrain Version 3
    Site proposant 66 challenges présentés dans une liste mélangée.
    Challenges

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!

    €



Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Infection, Fonctionnement, Contrôle et Détection de Malware
01-06-2013, 09h24
Message : #7
0pc0deFR
Non-enregistré



 
RE: Infection, Fonctionnement, Contrôle et Détection de Malware
Les techniques pour répandre un malware ne sont pas limitées. En gros tout ce qui permet de communiquer avec l'extérieur pour potentiellement amener du malware. Une clé USB, un client mail, un navigateur, ...

Concernant les navigateurs/clients mail, généralement ce sont des exploits qui sont utilisés. Les antivirus intègrent de la détection de signature dans les exploits.

Un malware, dans la plupart des cas va vouloir rester le plus longtemps possible sur la machine. L'idée est donc de rester caché. Des techniques assez simples existent pour ça comme un hook du gestionnaire des tâches pour ne pas apparaître dans la liste des process, une injection dans un processus comme explorer.exe, etc, ce sont des techniques de rootkit.

En général un malware a un but précis. Par exemple, les crimewares comme Zeus/SpyEye/... on pour but le vol de données bancaires, ils intègrent donc des fonction pour permettre ceci. Par exemple, aucune fonctions de DDOS puisque ce n'est pas son but. WarBot par exemple, lui est spécialisé dans le DDOS donc il n'intègre pas de Keylogger ou autres. Certains sont plus ou moins couteau suisse, ce sont les Rat's (Remote Administration Tools) type DarkComet ou BlackShades. Ils intègrent des fonctions de keylogging, de DDOS, de prise de main à distance (type VNC), ...

Je pense que le C&C est adapté à l'utilité du botnet. Cependant, il existe deux ou trois protocoles différents. Le plus souvent on trouve du HTTP, de temps à autre du IRC, j'ai aussi entendu parler du P2P (mais je n'ai pas eu la chance d'avoir un sample entre les mains). Il y a aussi ceux qui ont un protocole indépendant. C'est le cas des Rat's. Le plus souvent, ils ont une application appelée Client qui est lancée et les serveurs ce connectent à celui-ci.

La détection ce fait de plusieurs manières. Dans le cadre d'un crypter/packer fait maison, une détection d'un certain nombre d'octets au niveau de l'EP peut suffir. D'autres malwares utilisent des User-Agent qui leur sont propres, il suffit donc de chercher ce User-Agent pour le détecter. Pour l'exemple, 1337 Stealer a des chaînes de caractères facilement repérables: "[S-P-L-I-T]" ou "[H-E-R-E]". J'ai donc basé ma détection Yara là dessus. Les antivirus commencent à intégrer petit à petit la détection heuristique. C'est une détection par comportement.

Pour la détection par signature, ce n'est pas très compliqué à passer. Un encodage du binaire, un chiffrement, un packer, etc suffit.
Pour la détection par heuristique, c'est un peu plus complexe mais ça reste assez simple. Comme vous les savez, en programmation, il ni a jamais qu'une seule façon de faire les choses. Il suffirait donc de jouer avec les techniques pour contourner l'heuristique.
positive (0) negative (0) Répondre


Messages dans ce sujet
RE: Infection, Fonctionnement, Contrôle et Détection de Malware - par 0pc0deFR - 01-06-2013, 09h24

Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  Reverse Jar Malware Yttrium 6 470 24-02-2016, 10h20
Dernier message: ZeR0-@bSoLu
  [Malz] - Malware dans .doc notfound 0 125 24-03-2015, 11h38
Dernier message: notfound
  Mes Analyses de Malware Yttrium 6 316 05-02-2015, 16h15
Dernier message: sakiir
  Malware uKash Swissky 21 1,210 19-11-2012, 12h05
Dernier message: InstinctHack

Atteindre :


Utilisateur(s) parcourant ce sujet : 2 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut