Comment analyser le trafic réseau des logiciels malveillants dans un bac à sable


L’analyse des logiciels malveillants englobe un large éventail d’activités, notamment l’examen du trafic réseau du logiciel malveillant. Pour y parvenir efficacement, il est essentiel de comprendre les défis communs et comment les surmonter. Voici trois problèmes courants que vous pourriez rencontrer et les outils dont vous aurez besoin pour les résoudre.

Décryptage du trafic HTTPS

Hypertext Transfer Protocol Secure (HTTPS), le protocole de communication en ligne sécurisée, est devenu un outil permettant aux logiciels malveillants de dissimuler leurs activités malveillantes. En masquant l’échange de données entre les appareils infectés et les serveurs de commande et de contrôle (C&C), les logiciels malveillants peuvent fonctionner sans être détectés, exfiltrant des données sensibles, installant des charges utiles supplémentaires et recevant des instructions des opérateurs.

Pourtant, avec le bon outil, décrypter le trafic HTTPS est une tâche facile. À cette fin, nous pouvons utiliser un proxy man-in-the-middle (MITM). Le proxy MITM fonctionne comme intermédiaire entre le client et le serveur, interceptant leur communication.

Le proxy MITM aide les analystes à surveiller en temps réel le trafic réseau du malware, leur offrant ainsi une vue claire de ses activités. Entre autres choses, les analystes peuvent accéder au contenu des paquets de requêtes et de réponses, aux adresses IP et aux URL pour afficher les détails de la communication du logiciel malveillant et identifier les données volées. L’outil est particulièrement utile pour extraire les clés SSL utilisées par le malware.

Cas d’utilisation

Analyser le trafic réseau des logiciels malveillants
Informations sur AxileStealer fournies par le bac à sable ANY.RUN

Dans cet exemple, le fichier initial, d’une taille de 237,06 Ko, supprime le fichier exécutable d’AxilStealer, d’une taille de 129,54 Ko. En tant que voleur typique, il accède aux mots de passe stockés dans les navigateurs Web et commence à les transférer aux attaquants via une connexion Telegram Messenger.

L’activité malveillante est signalée par la règle « STEALER [ANY.RUN] Tentative d’exfiltration via Telegram ». Grâce à la fonction proxy MITM, le trafic du malware est décrypté, révélant plus de détails sur l’incident.

Analyse des logiciels malveillants

Utilisez un proxy MITM et des dizaines d’autres fonctionnalités avancées pour une analyse approfondie des logiciels malveillants dans le bac à sable ANY.RUN.

Demander un essai gratuit

Découvrir la famille des malwares

L’identification des familles de logiciels malveillants est un élément crucial de toute cyber-enquête. Les règles Yara et Suricata sont des outils couramment utilisés pour cette tâche, mais leur efficacité peut être limitée lorsqu’il s’agit d’échantillons de logiciels malveillants dont les serveurs ne sont plus actifs.

FakeNET propose une solution à ce défi en créant une fausse connexion serveur qui répond aux demandes des logiciels malveillants. Tromper le malware pour qu’il envoie une requête déclenche une règle Suricata ou YARA, qui identifie avec précision la famille du malware.

Cas d’utilisation

Analyser le trafic réseau des logiciels malveillants
Serveurs inactifs détectés par le sandbox ANY.RUN

Lors de l’analyse cet échantillonle bac à sable indique que les serveurs du malware ne répondent pas.

Analyser le trafic réseau des logiciels malveillants
Le malware Smoke Loader identifié à l’aide de FakeNET

Pourtant, après avoir activé la fonctionnalité FakeNET, le logiciel malveillant envoie instantanément une requête à un faux serveur, déclenchant la règle réseau qui l’identifie comme étant Chargeur de fumée.

Détecter les logiciels malveillants géo-ciblés et évasifs

De nombreuses attaques et campagnes de phishing se concentrent sur des régions géographiques ou des pays spécifiques. Par la suite, ils intègrent des mécanismes comme la géolocalisation IP, la détection de langue ou le blocage de sites Web qui peuvent limiter la capacité des analystes à les détecter.

Parallèlement au ciblage géographique, les opérateurs de logiciels malveillants peuvent exploiter des techniques pour échapper à l’analyse dans les environnements sandbox. Une approche courante consiste à vérifier si le système utilise une adresse IP de centre de données. S’il est confirmé, le logiciel malveillant arrête son exécution.

Pour contrer ces obstacles, les analystes utilisent un proxy résidentiel. Cet outil astucieux fonctionne en basculant l’adresse IP de l’appareil ou de la machine virtuelle de l’analyste vers les adresses IP résidentielles des utilisateurs ordinaires de différentes parties du monde.

Cette fonctionnalité permet aux professionnels de contourner les restrictions géographiques en imitant les utilisateurs locaux et d’étudier les activités malveillantes sans révéler leur environnement sandbox.

Cas d’utilisation

Analyser le trafic réseau des logiciels malveillants
Le malware Smoke Loader identifié à l’aide de FakeNET

Ici, Xworm recherche instantanément une adresse IP d’hébergement dès qu’elle est téléchargée dans un bac à sable. Pourtant, comme la VM dispose d’un proxy résidentiel, le malware continue de s’exécuter et se connecte à son serveur de commande et de contrôle.

Essayez tous ces outils dans ANY.RUN

La configuration et l’utilisation individuelle de chacun des outils mentionnés ci-dessus peuvent demander beaucoup d’efforts. Pour y accéder et les utiliser facilement, utilisez le cloud Bac à sable ANY.RUN.

La caractéristique clé du service est l’interactivité, vous permettant d’interagir en toute sécurité avec les logiciels malveillants et le système infecté, comme vous le feriez sur votre propre ordinateur.

Vous pouvez explorer ces fonctionnalités et de nombreuses autres fonctionnalités d’ANY.RUN, notamment l’espace privé pour votre équipe, les machines virtuelles Windows 7, 8, 10, 11 et l’intégration d’API entièrement gratuitement.

Utilisez simplement un essai de 14 jours, sans attaches.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57