Malwr et Cuckoo : bac à sables (sandbox)

Vu sur le tutoriel VoodooShield : Bloquer l’exécution de programmes où ce dernier propose d’analyser un exécutable dans le bac à sables de type Cuckoo.
Ce bac à sables permet donc d’exécuter un fichier pour en analyser le comportement et générer un rapport qui détaillera les fichiers/clé du registre Windows créé/modifié/supprimé, les requêtes réseaux.
Le but, au final, est d’aider à déterminer si l’exécutable est malicieux ou non.

Malwr est un service gratuit qui propose, en ligne, cette sandbox Cuckoo pour analyser des fichiers. Ce service est complémentaire de VirusTotal si vous désirez avoir une idée de la dangerosité d’un exécutable.
Voici comment s’en servir.

malwr

Explication des sandbox (bac à sables)

Ce terme est plus ou moins connu puisque des antivirus et autres solutions peuvent en embarquer.
Une sandbox ou bac à sables, est un environnement dissocié du système qui va permettre d’exécuter un fichier sans que ce dernier puisse interagir avec le système et surtout le modifier.
En clair, c’est un environnement simulé qui reprend celui de Windows.
Beaucoup d’antivirus dont Avast! possède des sandbox afin de pré-lancé un exécutable et déterminé si celui-ci est malicieux selon son activité.
Les navigateurs WEB peuvent aussi se lancer dans un bac à sables afin de limiter les infections de type WEB Exploit.

Dans le cas de Cuckoo, il s’agit de machines virtuelles qui vont se lancer, exécuter le fichier et générer un rapport qui récapitule le comportement de ce dernier.

VirusTotal utilise d’ailleurs ce système de Sandbox Cuckoo à travers onglet Behavioural information :

VirusTotal_Behavioural_information_scareware

Comment utiliser Malwr

Le principe est simple, vous envoyez sur le site malwr l’exécutable que vous souhaitez faire analyser….. malwr s’occupe du reste =)

Ca se passe là : https://malwr.com/

On clic sur le bouton Select file et on va chercher sur son disque l’exécutable en question.
Répondez au captcha en dessous en répondant à l’opération mathématique.
Puis cliquez sur Analyse.

 

tutoriel_malwrLe fichier est envoyé et analysé.
Cela peut prendre du temps, selon les demandes, car votre fichier peut être mis en liste d’attente.
Laissez tourner.
tutoriel_malwr_3

Notez que si le fichier a déjà été analysé, malwr va vous le signaler à travers cette page. Nul besoin de relancer une nouvelle analyse, cliquez sur les précédentes dans la liste en bas.

tutoriel_malwr_11

Une fois terminé, vous obtenez un bandeau vert avec un lien cliquable.tutoriel_malwr_4

Les rapports Cuckoo

Les rapports malwr donnent pas mal d’informations et beaucoup de détails et peuvent être assez imbitables.
Pour « Monsieur tout le monde », il faut se concentrer sur certains éléments.

Voici à quoi ressemble, un rapport malwr. Dans le cas observé, il s’agit de cette analyse, si vous désirez la parcourir : https://malwr.com/analysis/NjBmODM1N2QxYzZkNGFiYzhlNDQ2NzhmYzBmMmE1NTM/
A gauche, vous avez les boutons avec les divers catégories analysées :

  • Quick Overview : il s’agit d’un récapitulatif des éléments les plus importants, c’est la page principale…. C’est cette partie que vous devez survolé
  • Static Analysis : analyse statique, vous avez un multi-scan antivirus et les strings mémoires chargés par l’exécutable
  • Behavioral Analysis : analyse comportemental, en outre vous avez tous les détails du comportement de chaque fichier (les imports, les API contactés etc). Laissez tomber cette partie.
  • Network Analysis : toutes les requêtes réseaux effectués par l’exécutable : requêtes DNS, HTTP, IRC et autres. Un fichier pcap qui peut par exemple être ouvert avec Wireshark est disponible.
  • Dropped Files : les fichiers créés dans le système.

La page principale :

tutoriel_malwr_5

Le récapitulatif, c’est la partie importante (j’y reviens plus bas).
Malwr effectue aussi des captures d’écran, parfois, cela peut aider… comme pour les ransomwares où vous avez la page de paiement.
Là le résultat est sans appel.
tutoriel_malwr_6 et le détail des fichiers lus ainsi que les clés du registre Windows tutoriel_malwr_7

Les détails des signatures.. En cliquant sur les lignes rouges, vous obtenez les détails.
Dans cet exemple, on peut constater que :

  • A process attempted to delay the analysis task by a long amount of time. : le Processus met du temps à avant de se fermer et et ne « fait rien ». Souvent il s’agit de boucle créé pour faire attendre pour justement que les sandbox se ferme et que l’analyse ne se fasse pas.
  • Steals private information from local Internet browsers : peut potentiellement voler des informations contenus dans les navigateurs WEB et notamment les mots de passe WEB.
  • Collects information to fingerprint the system (MachineGuid, DigitalProductId, SystemBiosDate) : collecte des informations sur la machine, le BIOS etc, il peut s’agir ici d’un moyen pour l’exécutable de savoir s’il est sur un vrai ordinateur ou une machine virtuelle. Cela peut aussi lui servir à créé un GUID unique de l’ordinateur afin de pouvoir créé un « bot » unique qui sera ensuite contrôlé par le pirate (botnet)
  • Creates an Alternate Data Stream (ADS) : créé des Alternate Data Stream, des données attachés à des fichiers. C’est suspicieux mais pas forcément relatifs à des malwares/virus.
  • Installs itself for autorun at Windows startup : créé une clé autorun afin de se lancer au démarrage de Windows. Cela est TRES suspicieux car tout malware/virus va tenter de se lancer au démarrage de Windows (sauf certains ransomwares ou stealer qui vole les informations, les envoies à des serveurs et se ferment).

tutoriel_malwr_8

Côté réseau, en haut de la page principale, vous avez les hosts contactés :

tutoriel_malwr_5

et pour terminer, un tour dans Static Analysis > onglet Antivirus.
Où des antivirus le détectent comme malicieux.

tutoriel_malwr_12

En résumé :

  • Le fichier tente de se lancer au démarrage de Windows
  • Contacte un serveur distant
  • Tente de voler des informations contenus dans les navigateurs WEB
  • Certains antivirus le flag comme Trojans.

Sans nul doute, il s’agit ici d’un malware.

Les limites de ces sandbox

Comme tout système, il est possible pour les auteurs de malwares et notamment ceux sophistiqués de contourner ces analyses.
En clair, le malware va effectuer des analyses pour essayer de déterminer s’il est sur un vrai ordinateur ou une machine virtuelle.
Si le résultat est positif, il va se ferme et ne pas charger la charge virale.
Le rapport sera vide.

Retenez donc ceci :

Si le rapport montre des comportements anormaux et proches de ceux d’un malware, vous pouvez donc être à peu près certains qu’il s’agit d’un virus/malwares.
Si le rapport est vide et non malicieux : cela ne prouve en aucun cas que l’exécutable est sain.

Autres sandbox

Il existe d’autres sandbox de ce type qui sont aussi assez bien foutu.
ѠOOT en a présenté quelqu’unes : DeepViz & JoeSecurity ou TotalHash & HybridAnalysis

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 211 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *