Débuter en analyse de malwares

[supersnail]

Introduction

Ce (court) article a pour but de répondre à beaucoup de questions que se posent la plupart des débutants en reverse-engineering lorsqu'ils souhaitent commencer à analyser des malwares. Ce n'est cependant PAS un tutoriel sur l'analyse de malwares, il s'agit plûtot d'un guide présentant les différents outils disponibles, des papers pouvant vous faire progresser (à condition de travailler et de faire l'effort d'essayer de comprendre ces papers) et quelques conseils. Il faut tout d'abord savoir que se lancer dans l'analyse de malwares est "difficile", peu de ressources existent pour aider les débutants, et surtout il faut de bonnes connaissances en reverse-engineering, qui est donc un prérequis pour se lancer dans l'analyse de malwares (si vous êtes juste capable de nopper un saut conditionnel, n'espérez pas vous lancer dans l'analyse de malwares maintenant).

Quelques conseils en vrac

Tout d'abord, le meilleur moyen de progresser est de s'entraîner (le RE de malwares, c'est comme le sport, c'est en s'entraînant beaucoup qu'on devient champion du monde ), et donc ne pas hésiter à se confronter à un malware "difficile", même si on y comprend rien au début: l'essentiel c'est de voir du code, essayer d'en comprendre quelques bouts pour petit à petit comprendre plus de code. N'hésitez pas à lire plusieurs analyses déjà faites de malwares, afin de mieux comprendre les méthodes utilisées et mieux les appliquer. Enfin si jamais vous vous faites infecter par un malware malencontreusement (en naviguant sur un site par exemple), essayez de l'étudier et comprendre son fonctionnement.

Cependant, il faut prendre quelques précautions avant de se lancer dans le RE de malwares. Analyser un malware directement sur sa machine de travail est une hérésie (rendre son poste de travail inutilisable parce qu'on s'est auto-infecté n'est pas réellement une bonne idée). La meilleure solution (mais coûteuse) serait d'utiliser une machine dédiée (de préférence déconnectée du réseau pour éviter la propagation de vers). Un autre bon compromis est d'utiliser une machine virtuelle (c'est-à-dire un "ordinateur" tournant à l'intérieur de l'ordinateur de travail), la plupart des PC récents étant assez performants pour faire tourner 2 systèmes à la fois. Vous devrez cependant installer une copie de Windows afin de pouvoir l'utiliser. Parmi les solutions de virtualisation, les plus connues sont VirtualBox ou VMWare.

Une autre bon conseil est d'apprendre à unpacker des malwares et s'y entraîner, étant donné que la plupart des malwares sont "packés", ceci afin de réduire les chances d'être détectés par les antivirus.

Où trouver des malwares ?

La réponse la plus simple ici est "dans la nature", c'est-à-dire sur ce que le commun des mortels appelle "sites douteux" (pr0n, warez, etc...). Cependant il existe plusieurs sites/communautés qui mettent à disposition des malwares pour être étudiés, dont voici quelques liens ci-dessous:

• http://malc0de.com/database/ (accès public)
  
• http://vxvault.siri-urz.net/ViriList.php (accès public)
  
• http://malware.lu/: il faut envoyer un e-mail aux administrateurs pour réclamer un compte
  
• http://kernelmode.info/: forum dédié au reverse-engineering, ) l'analyse de malwares et à la programmation ring0 (en anglais)
  

Liens utiles

Désassembleurs/Débuggeurs

• IDA Pro qui est la référence en matière de reverse-engineering (la version 6.1 est disponible sur les réseaux Torrent, sinon IDA Pro Free est disponible en téléchargement gratuit sur le site de l'éditeur, même si l'interface est moins agréable)
  
• OllyDBG v1.10: la version la plus utilisée en ce moment, et qui possède la communauté la plus active et un très grand nombre de plugins.
  
• OllyDBG v2.0: version qui supporte win7 64 bits, mais plus instable (encore en développement) et incompatible avec les plugins de la v1.10.
  
• Immunity Debugger
  
• IDR: désassembleur dédié aux applications codées en Delphi
  

Plugins OllyDBG v1.10

• Phant0m: plugin permettant de contourner beaucoup de protections anti-debug
  
• GoDUP: permet de charger les fichiers .map générés par IDA/IDR dans OllyDBG (pour renommer automatiquement les fonctions et rendre le listing plus lisible)
  
• Asm2Clipboard: permet de copier du code assembleur du process debuggué dans le presse-papier (utile pour les keygenners btw)
  
• MemoryDump: permet de dumper la portion de mémoire sélectionnée directement dans un fichier (utile pour unpacker rapidement un malware)
  
• Multiline Ultimate Assembler: un plugin permettant d'assembler du code directement dans un processus (utile pour faire des codecave)
  

Analyses de malwares et papers

• Les analyses de malware.lu
  
• Mon analyse de Andromeda 2.07 (en anglais)
  
• la chaîne youtube de Xylitol, pas mal de trucs concernant le reversing/l'analyse de malwares.
  
• La MSDN, la documentation de toutes (ou presque) les API windows que vous rencontrerez dans beaucoup de malwares
  

[sakiir]

Cependant, il faut cependant

si je eux me permettre ^^ ahah meme si mon orthographe et autres compétences litteral sont pourrav' :p
Si non j'adore c'est exactement le genre de chose que je cherche !
je te remercie beaucoup à plus et +1

[supersnail]

Merci, c'est corrigé

[0pc0deFR]

Je crois que j'ai déjà vu ça quelque part. Real-ASM peut être?

Il est possible d'utiliser des outils de virtualisation, hyperviseurs, type ESXi de chez VMWare ou XenServer de chez Citrix (totalement gratuit et open-source [c'est le support technique qui est payant si le forum ne suffit pas]), ou encore Proxmox qui n'est pas mal non plus. A savoir, ESXi s'installe sur une clé USB (c'est mon cas).

[supersnail]

@0pc0deFR: yep c'est une version légèrement modifiée de celle que j'avais postée sur le wiki de real-asm

[Horgh]

Analyser un malware directement sur sa machine de travail est une hérésie (rendre son poste de travail inutilisable parce qu'on s'est auto-infecté n'est pas réellement une bonne idée)

Je n'irais pas jusqu'à l'hérésie, soit clément avec les flemmards comme moi s'il te plait :'(
Nan en vrai, je reconnais que c'est mal, c'est chiant de devoir virer des rootkits de son windows 7.

OllyDBG v2.0: version qui supporte win7 64 bits, mais plus instable (encore en développement) et incompatible avec les plugins de la v1.10.

Pas d'accord. Depuis les dernières versions il y a bien plus de plugins et la stabilté s'est grandement accrue. La preuve en est que Oleh a commencé à bosser sur la v2 x64

Sinon, gj

[supersnail]

Faudrait que je reteste alors :') (y'a quelques mois encore c'était trop instable à mon goût :])