L’analyse statique de malware<\/h2>\n\n\n\n
Pour effectuer une analyse statique, nous allons examiner un \u00e9chantillon de fichier suspect (executable) sans l’ex\u00e9cuter. La quantit\u00e9 d’informations qui peut \u00eatre obtenu de cette fa\u00e7on est importante, ca peut aller du simple nom de fichier, jusqu’aux signatures YARA complexes et sp\u00e9cialis\u00e9es. Nous allons essayer de voir les diff\u00e9rentes \u00e9tapes pour analyser statiquement un \u00e9chantillon.<\/p>\n\n\n\n
L’analyse statique, n’est pas une solution miraculeuse, il s’agit principalement de la premi\u00e8re \u00e9tape dans l’analyse de binaires dans le sens qu’elle permet d\u00e9j\u00e0 de voir les similarit\u00e9s avec les \u00e9chantillons pr\u00e9c\u00e9demment analys\u00e9s par la communaut\u00e9. <\/p>\n\n\n\n
Aussi, les malwares modernes excellent dans l’art de l’obfuscation, ou le fait de cacher les informations n\u00e9cessaire pour r\u00e9sister \u00e0 l’analyse statique. Dans le prochain article nous allons introduire la notion d’analyse dynamique en Sandbox (ou machine virtuelle s\u00e9curis\u00e9e) qui, elle, permet une plus grande inspection du comportement.<\/p>\n\n\n\n
<\/p>\n\n\n\n
Calcul du Hash de l’\u00e9chantillon<\/h2>\n\n\n\n
On nomme fonction de hachage<\/strong>, de l’anglais hash function<\/em> (hash<\/em>\u00a0: pagaille, d\u00e9sordre, recouper et m\u00e9langer) par analogie avec la cuisine, une fonction particuli\u00e8re qui, \u00e0 partir d’une donn\u00e9e fournie en entr\u00e9e, calcule une empreinte num\u00e9rique<\/strong><\/em> servant \u00e0 identifier rapidement la donn\u00e9e initiale, au m\u00eame titre qu’une signature pour identifier une personne. Les fonctions de hachage sont utilis\u00e9es en informatique et en cryptographie notamment pour reconna\u00eetre rapidement des fichiers ou des mots de passe.<\/p>\n\n\n\n L’id\u00e9e est donc de calculer le hash de notre \u00e9chantillon pour pouvoir confronter cette “empreinte” aux empruntes connues des malwares.<\/p>\n\n\n\n Pour cet article, nous allons essayer d’analyser un fichier \u00e0 priori b\u00e9nin, nous allons prendre notepad.exe qui r\u00e9side sur chaque machine windows et pour cel\u00e0, nous allons cr\u00e9er un dossier de travail et copier le fichier notepad.exe (qui r\u00e9side dans le r\u00e9p\u00e9rtoire windows\/system32) vers notre dossier de travail. Notre code est \u00e9crit en python.<\/p>\n\n\n\n Voici les \u00e9tapes pour calculer le hash de notepad.exe :<\/p>\n\n\n\n D’abord on importe les librairies n\u00e9cessaires et notre fichier<\/p>\n\n\n\n Pour mon notepad.exe sur mon windows 10, voici le r\u00e9sultat que j’obtiens :<\/p>\n\n\n\n Cette section expliquera les \u00e9tapes qui ont \u00e9t\u00e9 fournies dans la section pr\u00e9c\u00e9dente : On peut v\u00e9rifier notre code, en soumettant le fichier c:\\windows\\system32\\notepad.exe au moteur www.virustotal.com. Celui ci effectuera un calcul externe des hash et nous montrera les m\u00eames r\u00e9sultats :<\/p>\n\n\n\n Dans ce premier article, nous avons appris \u00e0 utiliser python et ses modules pour calculer le hash de fichier executable. Cette \u00e9tape primordiale nous permet de nous assurer d\u00e9j\u00e0 de l’integrit\u00e9 des fichiers que nous sommes en train d’analyser. Lorsqu’on analyse un fichier dont on dispose du MD5 Hash calcul\u00e9 par l’initateur du fichier, une comparaison des hash peut montrer une alt\u00e9ration du fichier et \u00eatre une premi\u00e8re alerte de modification.<\/p>\n\n\n\n Dans nos prochains articles, nous allons nous attaquer \u00e0 l’analyse des ent\u00eate PE, ainsi qu’au moteur de rule YARA qui est fondamental dans la recherche d’indicateurs et dans la r\u00e9alisation de syst\u00e8mes IDS.<\/p>\n\n\n\n Mehdi.<\/p>\n","protected":false},"excerpt":{"rendered":" Dans cet article, nous allons nous exercer \u00e0 faire une “analyse statique” de Malware. Principalement, nous allons apprendre \u00e0 analyser un fichier afin d’extraire toutes les informations utiles qui peuvent \u00eatre v\u00e9rifiable sur des bases de donn\u00e9es de la communaut\u00e9 pour detecter les malwares connus. Nous allons utiliser pour cel\u00e0 python afin d’extraire les informations […]<\/p>\n","protected":false},"author":1,"featured_media":7063,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"Nouvel article pratique - Analyse statique de Malwares (Part 1 - Hash Calculation)","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","enabled":false},"version":2}},"categories":[1],"tags":[],"class_list":["post-7059","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-classe"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/www.erroussafi.com\/wp-content\/uploads\/2020\/07\/malware_analysis.jpeg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/posts\/7059","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/comments?post=7059"}],"version-history":[{"count":0,"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/posts\/7059\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/media\/7063"}],"wp:attachment":[{"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/media?parent=7059"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/categories?post=7059"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.erroussafi.com\/index.php\/wp-json\/wp\/v2\/tags?post=7059"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Pr\u00e9parer l’environnement<\/h2>\n\n\n\n
Calculer le hash de notepad.exe<\/h2>\n\n\n\n
import sys\nimport hashlib\nfilename = \"notepad.exe\"<\/code><\/pre>\n\n\n\n
Initialiser les fonctions MD5 et SHA256 avec un incr\u00e9ment de calcul de 64k<\/p>\n\n\n\nBUF_SIZE = 65536\nmd5 = hashlib.md5()\nsha256 = hashlib.sha256()<\/code><\/pre>\n\n\n\n
Nous lisons le fichier notepad.exe par incr\u00e9ments de 64k pour construire notre hash<\/p>\n\n\n\nwith open(filename, \"rb\") as f:\nwhile True:\ndata = f.read(BUF_SIZE)\nif not data:\nbreak\nmd5.update(data)\nsha256.update(data)<\/code><\/pre>\n\n\n\n
A la fin nous envoyons le r\u00e9sultat sur la fen\u00eatre console :<\/p>\n\n\n\nprint(\"MD5: {0}\".format(md5.hexdigest()))\nprint(\"SHA256: {0}\".format(sha256.hexdigest()))<\/code><\/pre>\n\n\n\nMD5: f65b883128779592cca7d01cc87937bf \nSHA256: 2f3daf08b248b0a8aa0c47ba81864be7d379a0229599cdec3b93281b57fcd280 <\/code><\/pre>\n\n\n\nExplications du code<\/h2>\n\n\n\n
\u00c0 l’\u00e9tape 1<\/strong>, nous importons hashlib<\/strong>, une biblioth\u00e8que Python standard pour le calcul de hachage. Nous sp\u00e9cifions \u00e9galement le fichier que nous allons hacher – dans ce cas, le fichier est notepad.exe.
\u00c0 l’\u00e9tape 2<\/strong>, nous instancions un objet md5 et un objet sha256 et sp\u00e9cifions la taille des morceaux que nous allons lire (64Kb = 65536 b).
\u00c0 l’\u00e9tape 3, nous utilisons la m\u00e9thode .update (data). Cette m\u00e9thode nous permet de calculer le hachage de mani\u00e8re incr\u00e9mentielle, car il calcule le hachage de l’encha\u00eenement. En d’autres termes, hash.update (a) suivi de hash.update (b) est \u00e9quivalent \u00e0 hash.update (a + b).
\u00c0 l’\u00e9tape 4, nous imprimons les hachages en chiffres hexad\u00e9cimaux. et nous obtenons les deux valeurs de hash MD5 et SHA256.<\/p>\n\n\n\nV\u00e9rification VirusTOTAL<\/h2>\n\n\n\n
![\"\"](\"https:\/\/www.erroussafi.com\/wp-content\/uploads\/2020\/07\/hashvirustotal-1024x664.png\")
Conclusion<\/h2>\n\n\n\n