🍇KAPE

Présentation

KAPE, acronyme de "Cuckoo Automated Malware Analysis Environment", est une solution open source conçue pour automatiser le processus d'analyse de logiciels malveillants. Il déploie une série d'outils et de techniques pour exécuter, surveiller et évaluer le comportement des fichiers suspects dans un environnement sécurisé et isolé. Cette approche permet aux chercheurs en sécurité de collecter des informations précieuses sur les menaces, telles que les activités réseau, les modifications de système et les interactions avec les ressources de la machine.

Disponible en ligne de commande (CLI) et en interface graphique utilisateur (GUI)

💡Fonctionnalités Clés :

Analyse Automatisée : CAPE automatise le processus d'exécution de fichiers suspects dans un environnement sandbox, offrant ainsi une analyse rapide et précise des logiciels malveillants.

Surveillance Complète : Il surveille les activités des échantillons analysés, y compris les communications réseau, les modifications de fichiers et de registre, ainsi que les processus en cours d'exécution.

Rapports Détaillés : CAPE génère des rapports détaillés contenant des informations essentielles sur le comportement des logiciels malveillants, facilitant ainsi la compréhension et la prise de décision.

Personnalisable et Extensible : Il offre la possibilité de personnaliser les configurations d'analyse et d'étendre ses fonctionnalités grâce à des plugins et des intégrations tierces.

KAPE fonctionne en deux étapes principales : la collecte des fichiers cibles et le traitement de ces fichiers à l'aide de modules.

  • Collecte des Fichiers : L'outil collecte les fichiers cibles en deux passes, en utilisant une combinaison de méthodes de copie standard et de lectures brutes sur disque pour contourner les verrous du système d'exploitation. Les fichiers collectés sont enregistrés avec leurs métadonnées d'origine dans une structure de répertoires similaire à celle du système source.

  • Traitement des Fichiers avec les Modules : Une fois la collecte terminée, les modules sont utilisés pour analyser et extraire des informations à partir des fichiers collectés. Par exemple, un module de pré-fetch pourrait être utilisé pour extraire les données de pré-fetch et les enregistrer dans un format lisible.

🛡️Utilisations Pratiques :

  • Analyse de logiciels malveillants pour comprendre leurs fonctionnalités et leurs intentions.

  • Détection proactive des menaces en identifiant les comportements malveillants avant qu'ils ne causent des dommages.

  • Évaluation de la sécurité des systèmes en simulant des attaques et en identifiant les vulnérabilités.

En somme, KAPE offre une solution complète et efficace pour l'analyse des artefacts Windows.

📋Lexique de KAPE

Dans le lexique de KAPE, les "Targets" sont les artefacts spécifiques que l'on souhaite collecter à partir d'un système ou d'une image et les copier vers une destination prédéfinie.

Targets: Les "Targets" sont responsables de la copie des fichiers d'un emplacement à un autre dans le cadre de la collecte d'artefacts. Ils peuvent inclure divers types de données, tels que les fichiers prefetch de Windows ou les ruches de registre. Extension en .tkape.

Exploration des "Targets": Lorsque nous explorons le répertoire des "Targets" de KAPE, nous trouvons les différents fichiers et dossiers qui définissent ces "Targets".

Fichiers .tkape: Parmi ces fichiers, les fichiers ".tkape" sont utilisés pour définir spécifiquement chaque "Target".

Contenu d'un fichier .tkape: Ce type de fichier contient des informations détaillées sur l'artefact à collecter, telles que le chemin d'accès, la catégorie et les masques de fichiers à inclure dans la collecte.

Exemple: Par exemple, le fichier ".tkape" associé au "Prefetch Target" peut ressembler à ceci :

makefileCopy code[Target]
Name=Prefetch
Category=Windows
Files=C:\Windows\prefetch\*.pf,C:\Windows.old\prefetch\*.pf

Interprétation: Ce fichier indique à KAPE de collecter tous les fichiers avec l'extension "*.pf" dans les répertoires "C:\Windows\prefetch" et "C:\Windows.old\prefetch".

Inclusion de C:\Windows.old: Il est intéressant de noter que le chemin "C:\Windows.old" est inclus, car il peut contenir des artefacts historiques importants, conservés après une mise à jour de Windows vers une nouvelle version. Ces artefacts peuvent être pertinents pour une analyse médico-légale approfondie.

🔗 Compound Targets :

KAPE prend également en charge les "Compound Targets" (cibles composées). Ce sont des cibles qui sont des compositions de plusieurs autres cibles. KAPE est souvent utilisé pour la collecte et l'analyse rapides de triage. Le but de KAPE ne sera pas atteint si nous devons collecter chaque artefact individuellement. Par conséquent, les "Compound Targets" nous aident à collecter plusieurs cibles en une seule commande.

Exemples de Compound Targets :

  • !BasicCollection

  • !SANS_triage

  • KAPEtriage

Exploration des Compound Targets : Les "Compound Targets" peuvent être consultées dans le chemin KAPE\Targets\Compound.

Structure d'un Compound Target : Un exemple de "Compound Target" est illustré ci-dessous :

makefileCopy code[Compound Target]
Name=EvidenceOfExecution
Category=Windows
Targets=!Prefetch,!RecentFileCache,!AmCache,!Syscache

Interprétation : Ce "Compound Target" collectera des preuves d'exécution à partir des cibles Prefetch, RecentFileCache, AmCache et Syscache.

🚩!Disabled

Ce répertoire contient des cibles que vous souhaitez conserver dans l'instance de KAPE, mais que vous ne voulez pas voir apparaître dans la liste active des cibles.

📍!Local

Si vous avez créé des cibles que vous ne souhaitez pas synchroniser avec le référentiel Github de KAPE, vous pouvez les placer dans ce répertoire. Ces cibles peuvent être spécifiques à votre environnement. De même, tout ce qui n'est pas présent dans le référentiel Github lors de la mise à jour de KAPE sera déplacé vers le répertoire !Local.

📁 Fichiers .mkape

Dans KAPE, les fichiers avec l'extension .mkape sont considérés comme des Modules. Ces fichiers sont utilisés pour exécuter des outils spécifiques sur l'ensemble de fichiers fourni lors de la collecte de données. Contrairement aux cibles, dont le but est de copier des fichiers d'un endroit à un autre, les modules visent à exécuter une commande et à stocker le résultat.

Le fichier .mkape spécifie :

  • L'exécutable à exécuter.

  • Les paramètres de ligne de commande de l'exécutable.

  • Le format d'exportation de sortie.

  • Le nom de fichier vers lequel exporter les résultats.

📂 Répertoire bin :

Le répertoire bin contient les exécutables nécessaires pour exécuter les modules. Ces exécutables sont souvent des outils tiers qui ne sont pas présents nativement sur la plupart des systèmes d'exploitation. KAPE exécutera ces exécutables soit à partir du répertoire bin, soit en utilisant le chemin complet spécifié dans les fichiers .mkape.

PreviousIndicateurs de Compromission (IOC)NextKape CLI

Last updated