Evaluer une URL/Fichiers : Malicieux ou non Malicieux

Un billet qui vous donne quelques recettes pour déterminer si une URL ou fichiers est malicieux.
Bien sûr, on ne peux pas être certains à 100% du résultat, l’expérience et la connaissance fera la différence.

Evaluer des URLs

Ici le but est surtout de déterminer si la page contient des scripts malicieux qui conduisent à des exploits sur site WEB.
Lire le code source peux aider mais ne révèle pas à 100% de la présence d’un exploit puisque le script malicieux peux être contenus dans des liens annexes.

Des outils WEB permettent d’évaluer des pages WEB, en voici une petite liste :

  • Sucuri SiteCheck – l’adresse de vérification :  http://sitecheck.sucuri.net/scanner/?scan=URL

Exemple : http://sitecheck.sucuri.net/scanner/?scan=www.malekal.com

Bien entendu vous pouvez aussi évaluer vous même les pages.
WebSniffer permet de voir le code source de la page à partir de son navigateur WEB sans s’y connecter :  http://web-sniffer.net
Pjjoint fait la même chose : http://pjjoint.malekal.com/form_websniffer.php

Pour les utilisateurs avancés, il est possible d’analyser vous même les connexions HTTP : Récupération du traffic HTTP d’une machine infectée
FiddlerCap le fait pour vous : Fiddler : Monitorer le traffic HTTP et plus globalement pour tout le traffic réseau, il y a WireSharck

Evaluer les fichiers

Voici comment évaluer les fichiers proposés.
Bien entendu la première chose consiste à évaluer la source de téléchargement – un fichier exécutable ou Rar/Zip contenant des exécutables proposés sur MegaUpload sont potentiellement des malwares.

La première méthode consiste à scanner le fichier à de multiples antivirus – des solutions WEB existent dans ce sens comme : VirusTotal, VirScanVirusChief
Se reporter à la page : VirusTotal : Comment scanner un fichier

Limites :  Le résultat est parfois pas convaincant, notez en effet qu’un malware peux être mal détecté, par exemple 1/42 sur VirusTotal.

EDIT Juillet 2012 – VirusTotal incorpore maintenant une analyse dynamique automatisée :  http://www.malekal.com/2012/07/23/virustotal-behavioural-information/

 

Analyse par Sandbox

Une autre solution consiste à soumettre le fichier sur des Sandbox en ligne qui permettent d’évaluer les modifications effectuées sur le système.
Les trois Sandbox les plus utilisées sont : Anubis, ThreatExpert, Sunbelt GFI Sandbox

Voici un exemple de rapport ThreatExpert.
Les rapports ThreatExperts vous donnent :

  • les fichiers créés par le dropper (et les détections correspondant si des Antivirus détectent les fichiers créés).
  • Les modifications en mémoire et processus créés
  • Les modifications du registre
  • Et enfin les connexions réseaux effectuées.

Ci-dessous on voit des fichiers temporaires créés avec des noms assez suspects puisqu’ils imitent les noms de processus systèmes (winlogon / svchost).
Une clef Run dans le registre est crée, ce qui permet au programme de se lancer au démarrage

Ci-dessous ce dropper créé une clef Run et surtout se connecte à un serveur sur le port 8087.
On voit que les échanges sont de types serveur IRC, on peux d’ailleurs voir le changement de surnom et la connexion au channel #cash avec le mot de passe bich99

Voici un exemple d’un rapport PDF de la Sandbox Anubis : Anubis_report
Anubis présente le rapport sous forme hiérarchique avec la création de processus, chacun des processus montre les DLL chargées, les clefs du registre lues/modifiées ou créés et les connexions réseau.

Ci-dessous le dropper 95fa4bcdc8d.exe qui lance netsh.exe et créés le fichier %APPDATA%\uilknj.exe

On voit la clef Run qui est créé mais aussi la modification de la valeur StartPage qui modifie la page de démarrage sur Internet Explorer.

Enfin les connexions réseaux établies, on voit ici une connexion IRC avec le topic du channel qui donne l’ordre d’envoyer les messages sur IM avec l’url contenant le malware afin de propager ce dernier.
Bref un malware MSN/IM

Les limites : La première limite vient du fait que ces Sandbox utilise la virtualisation. Certains droppers embarquent des anti-VM, si on lance le dropper rien ne se passe (il se lance et se ferme automatiquement), aucune modification du système est donc effectuées, on obtient un rapoort vide.
Il faut donc se méfier de ces rapports vides qui sont plutôt donc synonymes de malware potentiel.

L’autre limite est la lecture des rapports qui peut parfois être complexes si on connaît pas les malwares existants.
Par exemple-ci dessous ce rapport ThreatExpert – on voit une popup d’erreur qui s’ouvre (on voit que le titre de la popup est un fake).

On voit que ce dropper créés deux fichiers %TEMP%\keygen.exe et %TEMP%\Server1.exe ce dernier est détecté en Worm.Win32.VBNA.b – en réalité, il s’agit d’un simple programme écrit en VB qui ouvre la popup d’erreur.

keygen se lance en mémoire, créé une clef du registre et se connecte à l’adresse IP 74.125.65.108 et  74.125.65.109 sur le port 465
=> gx-in-f109.1e100.net

il s’agit en fait d’une connexion vers le SMTP de Gmail en crypté.

En réalité ici, on a affaire à ce type de stealer qui récupère les mots de passe et les envoies par mail à une adresse gmail – la clef créée fait office de mutex, si la clef existe, aucun mail n’est envoyé.
Tout cela, pour en venir au fait, que dans le cas ici, même si on a quelques indices, il n’est pas évident de voir par les modifications que l’on a affaire à un véritable malware. 

 

Créer sa propre Sandbox

Il est tout à fait possible de créer sa propre Sandbox via une virtualisation sur son PC.
Les programmes suivants peuvent être utilisées :

  • Process Explorer afin de monitorer les processus qui se lance et les manipuler : le dump de string mémoire peut s’avérer très utile ou lister les modules d’un processus.
  • Un IDS permet de maitriser la création de processus et obtenir des informations supplémentaires (création de service, chargement de drivers etc).
  • Côté réseau et comme évoqué précédemment, FiddlerCap permet de monitorer les connexions HTTP.
  • Enfin, InCtrl5 s’avère un outil qui permet d’analyser les modifications effectuées sur le système, de la création de fichiers à la modification du registre.
D’autres programmes peuvent être utilisés (comme ProcMon), certains sont listés sur la page : Monitorer l’activité système ou d’un programme

 

Conclusion

En espérant que ce billet vous sera utile, bien entendu, si vous avez des doutes, vous pouvez uploader le fichier sur http://upload.malekal.com afin que je puisse évaluer le fichier (et transmettre aux éditeurs d’antivirus si besoin est).

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 110 times, 1 visits today)

3 thoughts on “Evaluer une URL/Fichiers : Malicieux ou non Malicieux

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *