Avant de chasser les logiciels malveillants, chaque chercheur doit trouver un système où l’analyser. Il existe plusieurs façons de le faire : créez votre propre environnement ou utilisez des solutions tierces. Aujourd’hui, nous allons parcourir toutes les étapes de la création d’un bac à sable de logiciels malveillants personnalisé où vous pourrez effectuer une analyse appropriée sans infecter votre ordinateur. Et puis comparez-le avec un service prêt à l’emploi.
Pourquoi avez-vous besoin d’un bac à sable de logiciels malveillants ?
Une sandbox permet de détecter les cybermenaces et de les analyser en toute sécurité. Toutes les informations restent sécurisées et un fichier suspect ne peut pas accéder au système. Vous pouvez surveiller les processus de logiciels malveillants, identifier leurs modèles et enquêter sur leur comportement.
Avant de mettre en place un bac à sable, vous devez avoir un objectif clair de ce que vous voulez réaliser grâce à l’atelier.
Il existe deux façons d’organiser votre espace de travail pour l’analyse :
- Bac à sable personnalisé. Fabriqué à partir de zéro par un analyste par lui-même, spécifiquement pour ses besoins.
- Une solution clé en main. Un service polyvalent avec une gamme de configurations pour répondre à vos demandes.
Comment créer votre propre sandbox de logiciels malveillants ?
Comment créer votre propre sandbox de logiciels malveillants
Passons en revue toutes les étapes dont vous avez besoin pour configurer l’environnement simple pour la recherche de logiciels malveillants :
1 — Installer une machine virtuelle
L’exécution de logiciels malveillants doit se produire dans un environnement correctement isolé pour éviter l’infection d’un système d’exploitation hôte. Il est préférable d’avoir un ordinateur isolé, mais vous pouvez configurer une machine virtuelle ou plutôt plusieurs d’entre elles avec différentes versions d’OS. Il existe un tas de machines virtuelles présentées sur le marché : VMWare, VirtualBox, KVM, Oracle VM VirtualBox, Microsoft Hyper-V, Parallels ou Xen.
2 — Vérifier les artefacts
Les logiciels malveillants modernes sont intelligents : ils comprennent s’ils sont exécutés sur la machine virtuelle ou non. C’est pourquoi il est essentiel de se débarrasser des artefacts. Vérifiez le code, supprimez la détection et autres.
3 — Utiliser un autre réseau
Une autre précaution consiste à utiliser un système de réseau différent. Il est important d’empêcher toute infection d’autres ordinateurs de votre réseau. Obtenez un service VPN et configurez-le correctement. Vous ne pouvez pas laisser la fuite de trafic se produire à partir d’une adresse IP réelle.
4 — Affectez une quantité réaliste de ressources
Notre objectif est de rendre un système aussi authentique que possible pour inciter tout programme malveillant à s’exécuter. Assurez-vous d’affecter une quantité réaliste de ressources : plus de 4 Go de RAM, un minimum de 4 cœurs et un espace disque de 100 Go et plus. C’est une exigence de base pour prétendre à un système légitime. Et encore, gardez à l’esprit que les logiciels malveillants vérifient la configuration des équipements. S’il y a le nom d’une machine virtuelle quelque part, un objet malveillant l’identifie et cesse de fonctionner.
5 — Installez les logiciels couramment utilisés
Si vous installez Windows et le laissez tel quel, un objet malveillant obtiendra qu’il soit analysé.
Installez quelques applications, telles que Word, des navigateurs et d’autres programmes que tous les utilisateurs possèdent généralement.
6 — Ouvrir plusieurs fichiers
Ici, nous devons montrer qu’il s’agit d’un véritable ordinateur qui appartient à quelqu’un. Ouvrez quelques documents pour accumuler des logs et quelques fichiers temporaires. Plusieurs types de virus vérifient cela. Vous pouvez utiliser Regshot ou Process Monitor pour créer des journaux des modifications du registre et du système de fichiers. Notez que ces programmes peuvent être détectés par des logiciels malveillants lorsqu’ils sont en cours d’exécution.
7 — Imitez une connexion réseau
Certains types de logiciels malveillants vérifient s’ils peuvent se connecter à des sites Web tels que Google. Comment faire croire à un programme malveillant qu’il est en ligne ? Des utilitaires comme INetSim et l’outil FakeNet imitent une vraie connexion Internet et nous permettent d’intercepter les requêtes faites par les logiciels malveillants. Essayez de vérifier les protocoles réseau entre un objet malveillant et son serveur hôte. Mais au préalable, découvrez à quoi l’échantillon analysé se connecte à l’aide de WireShark. Et il faut un certain effort pour ne pas abandonner cet outil au malware, soyez prudent.
8 — Installer les outils d’analyse
Préparez les outils que vous utiliserez pour l’analyse et assurez-vous de savoir comment les utiliser. Vous pouvez utiliser les outils Flare VM ou utiliser ces programmes :
- Débogueurs : x64dbg étudie le code malveillant en l’exécutant.
- Désassembleurs : Ghidra facilite la rétro-ingénierie, avec accès à la sortie du décompilateur. Il peut également être utilisé comme débogueur.
- Analyseurs de trafic : Wireshark vérifie les communications réseau demandées par les logiciels malveillants.
- Analyseurs de fichiers : Process Monitor, ProcDOT visent à surveiller et à comprendre comment les processus traitent les fichiers.
- Moniteurs de processus : Process Explorer, Process Hacker aident à surveiller le comportement des logiciels malveillants.
9 — Mettez à jour votre système vers la dernière version
Votre système doit être à jour ainsi que tous les logiciels. Filtrez les modifications régulières de Windows qui se produisent assez souvent. Cependant, votre expérience peut nécessiter une version différente, comme la façon dont les logiciels malveillants exploitent certaines erreurs du système d’exploitation. Dans ce scénario, choisissez et configurez la version nécessaire.
10 — Désactivez Windows Defender et le pare-feu Windows.
Désactivez des choses comme le défenseur Windows. Si vous travaillez avec des logiciels malveillants, cela peut déclencher l’antivirus.
11 — Préparez les fichiers pour l’analyse
Créez un dossier partagé, sélectionnez un répertoire dont vous avez besoin.
Configurez un instantané pour revenir à l’état ultérieur de la machine virtuelle en cas d’erreur.
Si vous terminez toutes ces étapes, vous êtes prêt à commencer l’analyse.
Existe-t-il une option plus efficace pour analyser les logiciels malveillants ?
Toutes ces étapes demandent beaucoup de temps et de préparation. Et pourtant, il est possible que votre bac à sable ne soit pas suffisamment sécurisé, invisible pour les logiciels malveillants et ne fournisse pas les informations nécessaires. Alors, quelle est la meilleure solution ? Voici la deuxième option – utilisez une solution toute faite. Jetons un coup d’œil à ANY.RUN.
ANY.RUN est un bac à sable de logiciels malveillants en ligne que vous pouvez utiliser pour détecter, surveiller et analyser les menaces. La meilleure partie est le temps et la commodité :
- L’analyse d’un échantillon malveillant ne prend que quelques minutes.
- La plupart des outils sont prêts pour vous, choisissez simplement ce dont vous avez besoin et commencez la tâche.
- Vos fichiers, votre système et votre réseau sont totalement sécurisés.
- L’interface est assez simple même pour les analystes juniors.
Il peut toujours être personnalisable – sélectionnez un système d’exploitation, un ensemble de logiciels, une localisation et d’autres détails adaptés à vos besoins. Mais l’avantage est que vous n’avez rien à installer ! Prenez votre ordinateur et vous êtes prêt.
Deux minutes suffisent généralement pour pirater même un logiciel malveillant avancé, et la plupart des astuces anti-évasion modernes ne fonctionnent pas ici. ANY.RUN les chasse tous.
Profitez d’une solution plus rapide
La meilleure expérience est la vôtre, c’est pourquoi nous vous proposons d’essayer le bac à sable par vous-même et de vérifier les fonctionnalités de ANY.RUN. Et voici une offre spéciale pour nos lecteurs – vous pouvez essayer le service gratuitement :
Écrivez le code promotionnel « HACKERNEWS » dans l’objet de l’e-mail à [email protected] et obtenez 14 jours d’abonnement premium ANY.RUN gratuitement !
Bien sûr, c’est à vous de décider comment effectuer l’analyse des logiciels malveillants. Vous pouvez passer du temps à créer votre propre environnement virtuel ou effectuer une analyse en quelques minutes à l’aide d’un bac à sable pratique comme ANY.RUN. Le choix t’appartient. La chose la plus importante est ce que vous allez faire avec ces services et comment y atteindre vos objectifs. Mais c’est une autre histoire. Chasse réussie !