Analyse dynamique et anti analyse

🛑 Prudence !

L'analyse dynamique implique d'exécuter potentiellement des logiciels malveillants sur une machine, ce qui peut être risqué. Il est vivement recommandé de le faire dans un environnement virtuel isolé pour éviter toute infection accidentelle de votre système.

🏗️ Construction d'une Sandbox

Une sandbox est un environnement isolé simulant l'exécution d'un programme dans un environnement réel. Pour créer un bon bac à sable pour l'analyse des malwares, vous aurez besoin d'une machine virtuelle, d'outils de surveillance système et réseau, ainsi que d'un système pour gérer les journaux et les échantillons de malwares.

📦Sandbox Open Source

Cuckoo Sandbox est un choix populaire offrant une multitude de fonctionnalités pour l'analyse de malwares. Il permet de surveiller les processus, le réseau et le système de fichiers.

Cape Sandbox est une alternative robuste, prenant également en charge le débogage et le vidage de la mémoire pour une analyse approfondie.

REMnux est une distribution Linux spécialisée dans l'analyse de malwares, offrant une gamme d'outils préinstallés pour faciliter le processus.

BSA (Buster Sandbox Analyzer ) propose une interface graphique conviviale pour l'analyse dynamique des malwares, avec des fonctionnalités de surveillance étendues.

🎉 Sandbox en ligne :

• Online Cuckoo Sandbox

• Online CAPE Sandbox

• Any.run

• Intezer

• Hybrid Analysis

Anti-Analyse

Les créateurs de logiciels malveillants utilisent fréquemment des techniques telles que le packing et l'obfuscation pour rendre la tâche des analystes plus difficile

Packing

Le packing consiste à comprimer, chiffrer ou obscurcir le contenu des logiciels malveillants. Ces méthodes rendent l'analyse statique des logiciels malveillants plus ardue. Par exemple, un malware qui a été compressé ne révélera pas facilement ses informations vitales lorsqu'on tente de le parcourir à la recherche de chaînes de caractères.

🔒 Obfuscation

L'obfuscation consiste à rendre le code source ou le binaire du malware plus difficile à comprendre pour les analystes humains et les outils de sécurité. Cela est souvent réalisé en utilisant des techniques telles que la substitution de noms de variables, l'ajout de fausses instructions, et la compression du code. L'objectif principal de l'obfuscation est de rendre la rétro-ingénierie plus difficile et de rendre le malware plus résistant à la détection.

Evasion des sandboxes

Malgré l'utilisation de sandboxes pour analyser les malwares, les auteurs de malwares ont développé des techniques pour échapper à ces environnements contrôlés. Voici quelques-unes de ces méthodes :

⏰ Appels de sommeil prolongés : Les auteurs de malwares savent que les sandboxes fonctionnent pendant une durée limitée. Par conséquent, ils programment le malware pour ne pas effectuer d'activité pendant une longue période après son exécution, souvent en utilisant des appels de sommeil prolongés. Le but de cette technique est de faire expirer le délai de la sandbox.

🖱️ Détection de l'activité utilisateur : Certains malwares attendront une activité utilisateur avant d'exécuter des activités malveillantes. Ils peuvent détecter l'absence de mouvement de souris ou de frappe au clavier, supposant qu'il n'y a pas d'utilisateur dans la sandbox. Les malwares avancés détectent même des modèles de mouvements de souris typiques des environnements sandbox automatisés, dans le but de contourner leur détection.

📂 Pistage de l'activité utilisateur : Certains malwares vérifient les fichiers ou l'activité utilisateur, tels que l'historique des fichiers MS Office ou de navigation sur Internet. S'ils ne trouvent pas ou peu d'activité, le malware considérera la machine comme une sandbox et s'arrêtera.

🔍 Détection des machines virtuelles : Les sandboxes s'exécutent généralement sur des machines virtuelles (VM). Les VM laissent des artefacts qui peuvent être identifiés par le malware. Par exemple, certains pilotes installés dans les VM exécutées sur VMWare ou Virtualbox trahissent le fait que la machine est une VM. Les auteurs de malwares associent souvent les VM aux sandboxes et termineraient le malware s'ils détectent une VM.

En résumé, les techniques d'anti-analyse et d'obfuscation sont utilisées par les auteurs de malwares pour rendre la vie difficile aux chercheurs en sécurité. Ils sont conçus pour rendre la détection et l'analyse des malwares plus complexes, mais avec des outils et des méthodes appropriés, les analystes peuvent toujours démanteler ces protections et comprendre le fonctionnement des malwares.