Avant de chasser les logiciels malveillants, chaque chercheur doit trouver un syst\u00e8me o\u00f9 l’analyser. Il existe plusieurs fa\u00e7ons de le faire : cr\u00e9ez votre propre environnement ou utilisez des solutions tierces. Aujourd’hui, nous allons parcourir toutes les \u00e9tapes de la cr\u00e9ation d’un bac \u00e0 sable de logiciels malveillants personnalis\u00e9 o\u00f9 vous pourrez effectuer une analyse appropri\u00e9e sans infecter votre ordinateur. Et puis comparez-le avec un service pr\u00eat \u00e0 l’emploi.<\/p>\n
Pourquoi avez-vous besoin d’un bac \u00e0 sable de logiciels malveillants\u00a0? <\/h2>\n
Une sandbox permet de d\u00e9tecter les cybermenaces et de les analyser en toute s\u00e9curit\u00e9. Toutes les informations restent s\u00e9curis\u00e9es et un fichier suspect ne peut pas acc\u00e9der au syst\u00e8me. Vous pouvez surveiller les processus de logiciels malveillants, identifier leurs mod\u00e8les et enqu\u00eater sur leur comportement.<\/p>\n
Avant de mettre en place un bac \u00e0 sable, vous devez avoir un objectif clair de ce que vous voulez r\u00e9aliser gr\u00e2ce \u00e0 l’atelier. <\/p>\n
Il existe deux fa\u00e7ons d’organiser votre espace de travail pour l’analyse\u00a0:<\/p>\n
- \n
- Bac \u00e0 sable personnalis\u00e9.<\/strong> Fabriqu\u00e9 \u00e0 partir de z\u00e9ro par un analyste par lui-m\u00eame, sp\u00e9cifiquement pour ses besoins.<\/li>\n
- Une solution cl\u00e9 en main.<\/strong> Un service polyvalent avec une gamme de configurations pour r\u00e9pondre \u00e0 vos demandes. <\/li>\n<\/ul>\n
Comment cr\u00e9er votre propre sandbox de logiciels malveillants\u00a0? <\/h2>\n
![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1648127848_340_Comment-creer-un-bac-a-sable-personnalise-pour-lanalyse-des.jpg\")
<\/div>\nComment cr\u00e9er votre propre sandbox de logiciels malveillants<\/strong><\/h4>\n
Passons en revue toutes les \u00e9tapes dont vous avez besoin pour configurer l’environnement simple pour la recherche de logiciels malveillants\u00a0:<\/p>\n
1 \u2014 Installer une machine virtuelle<\/b><\/p>\n
- \n<\/ol>\n
- D\u00e9bogueurs\u00a0: x64dbg \u00e9tudie le code malveillant en l’ex\u00e9cutant.<\/li>\n
- D\u00e9sassembleurs : Ghidra facilite la r\u00e9tro-ing\u00e9nierie, avec acc\u00e8s \u00e0 la sortie du d\u00e9compilateur. Il peut \u00e9galement \u00eatre utilis\u00e9 comme d\u00e9bogueur. <\/li>\n
- Analyseurs de trafic\u00a0: Wireshark v\u00e9rifie les communications r\u00e9seau demand\u00e9es par les logiciels malveillants.<\/li>\n
- Analyseurs de fichiers : Process Monitor, ProcDOT visent \u00e0 surveiller et \u00e0 comprendre comment les processus traitent les fichiers.<\/li>\n
- Moniteurs de processus : Process Explorer, Process Hacker aident \u00e0 surveiller le comportement des logiciels malveillants. <\/li>\n<\/ul>\n
9 \u2014 Mettez \u00e0 jour votre syst\u00e8me vers la derni\u00e8re version<\/b><\/p>\n
- \n<\/ol>\n
- L’analyse d’un \u00e9chantillon malveillant ne prend que quelques minutes.<\/li>\n
- La plupart des outils sont pr\u00eats pour vous, choisissez simplement ce dont vous avez besoin et commencez la t\u00e2che. <\/li>\n
- Vos fichiers, votre syst\u00e8me et votre r\u00e9seau sont totalement s\u00e9curis\u00e9s. <\/li>\n
- L’interface est assez simple m\u00eame pour les analystes juniors. <\/li>\n<\/ol>\n
Il peut toujours \u00eatre personnalisable – s\u00e9lectionnez un syst\u00e8me d’exploitation, un ensemble de logiciels, une localisation et d’autres d\u00e9tails adapt\u00e9s \u00e0 vos besoins. Mais l’avantage est que vous n’avez rien \u00e0 installer ! Prenez votre ordinateur et vous \u00eates pr\u00eat. <\/p>\n
![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1648127849_601_Comment-creer-un-bac-a-sable-personnalise-pour-lanalyse-des.jpg\")
<\/div>\nDeux minutes suffisent g\u00e9n\u00e9ralement pour pirater m\u00eame un logiciel malveillant avanc\u00e9, et la plupart des astuces anti-\u00e9vasion modernes ne fonctionnent pas ici. ANY.RUN les chasse tous.<\/p>\n
Profitez d’une solution plus rapide<\/h3>\n
La meilleure exp\u00e9rience est la v\u00f4tre, c’est pourquoi nous vous proposons d’essayer le bac \u00e0 sable par vous-m\u00eame et de v\u00e9rifier les fonctionnalit\u00e9s de ANY.RUN<\/a>. Et voici une offre sp\u00e9ciale pour nos lecteurs \u2013 vous pouvez essayer le service gratuitement : <\/p>\n
\u00c9crivez le code promotionnel “HACKERNEWS” dans l’objet de l’e-mail \u00e0 support@any.run et obtenez 14 jours d’abonnement premium ANY.RUN gratuitement\u00a0! <\/strong><\/p>\n
Bien s\u00fbr, c’est \u00e0 vous de d\u00e9cider comment effectuer l’analyse des logiciels malveillants. Vous pouvez passer du temps \u00e0 cr\u00e9er votre propre environnement virtuel ou effectuer une analyse en quelques minutes \u00e0 l’aide d’un bac \u00e0 sable pratique comme ANY.RUN. Le choix t’appartient. La chose la plus importante est ce que vous allez faire avec ces services et comment y atteindre vos objectifs. Mais c’est une autre histoire. Chasse r\u00e9ussie !<\/p>\n
<\/p>\n<\/div>\n
Votre syst\u00e8me doit \u00eatre \u00e0 jour ainsi que tous les logiciels. Filtrez les modifications r\u00e9guli\u00e8res de Windows qui se produisent assez souvent. Cependant, votre exp\u00e9rience peut n\u00e9cessiter une version diff\u00e9rente, comme la fa\u00e7on dont les logiciels malveillants exploitent certaines erreurs du syst\u00e8me d’exploitation. Dans ce sc\u00e9nario, choisissez et configurez la version n\u00e9cessaire. <\/p>\n
10 \u2014 D\u00e9sactivez Windows Defender et le pare-feu Windows.<\/b><\/p>\n
- \n<\/ol>\n
D\u00e9sactivez des choses comme le d\u00e9fenseur Windows. Si vous travaillez avec des logiciels malveillants, cela peut d\u00e9clencher l’antivirus. <\/p>\n
11 \u2014 Pr\u00e9parez les fichiers pour l’analyse<\/b><\/p>\n
- \n<\/ol>\n
Cr\u00e9ez un dossier partag\u00e9, s\u00e9lectionnez un r\u00e9pertoire dont vous avez besoin. <\/p>\n
Configurez un instantan\u00e9 pour revenir \u00e0 l’\u00e9tat ult\u00e9rieur de la machine virtuelle en cas d’erreur. <\/strong><\/p>\n
Si vous terminez toutes ces \u00e9tapes, vous \u00eates pr\u00eat \u00e0 commencer l’analyse.<\/p>\n
Existe-t-il une option plus efficace pour analyser les logiciels malveillants\u00a0? <\/h2>\n
Toutes ces \u00e9tapes demandent beaucoup de temps et de pr\u00e9paration. Et pourtant, il est possible que votre bac \u00e0 sable ne soit pas suffisamment s\u00e9curis\u00e9, invisible pour les logiciels malveillants et ne fournisse pas les informations n\u00e9cessaires. Alors, quelle est la meilleure solution\u00a0? Voici la deuxi\u00e8me option – utilisez une solution toute faite. Jetons un coup d’\u0153il \u00e0 ANY.RUN. <\/p>\n
ANY.RUN<\/a> est un bac \u00e0 sable de logiciels malveillants en ligne que vous pouvez utiliser pour d\u00e9tecter, surveiller et analyser les menaces. La meilleure partie est le temps et la commodit\u00e9\u00a0: <\/p>\n
- \n
L’ex\u00e9cution de logiciels malveillants doit se produire dans un environnement correctement isol\u00e9 pour \u00e9viter l’infection d’un syst\u00e8me d’exploitation h\u00f4te. Il est pr\u00e9f\u00e9rable d’avoir un ordinateur isol\u00e9, mais vous pouvez configurer une machine virtuelle ou plut\u00f4t plusieurs d’entre elles avec diff\u00e9rentes versions d’OS. Il existe un tas de machines virtuelles pr\u00e9sent\u00e9es sur le march\u00e9\u00a0: VMWare, VirtualBox, KVM, Oracle VM VirtualBox, Microsoft Hyper-V, Parallels ou Xen.<\/p>\n
2 \u2014 V\u00e9rifier les artefacts<\/b><\/p>\n
- \n<\/ol>\n
Les logiciels malveillants modernes sont intelligents : ils comprennent s’ils sont ex\u00e9cut\u00e9s sur la machine virtuelle ou non. C’est pourquoi il est essentiel de se d\u00e9barrasser des artefacts. V\u00e9rifiez le code, supprimez la d\u00e9tection et autres. <\/p>\n
3 \u2014 Utiliser un autre r\u00e9seau<\/b><\/p>\n
- \n<\/ol>\n
Une autre pr\u00e9caution consiste \u00e0 utiliser un syst\u00e8me de r\u00e9seau diff\u00e9rent. Il est important d’emp\u00eacher toute infection d’autres ordinateurs de votre r\u00e9seau. Obtenez un service VPN et configurez-le correctement. Vous ne pouvez pas laisser la fuite de trafic se produire \u00e0 partir d’une adresse IP r\u00e9elle. <\/p>\n
4 \u2014 Affectez une quantit\u00e9 r\u00e9aliste de ressources<\/b><\/p>\n
- \n<\/ol>\n
Notre objectif est de rendre un syst\u00e8me aussi authentique que possible pour inciter tout programme malveillant \u00e0 s’ex\u00e9cuter. Assurez-vous d’affecter une quantit\u00e9 r\u00e9aliste de ressources : plus de 4 Go de RAM, un minimum de 4 c\u0153urs et un espace disque de 100 Go et plus. C’est une exigence de base pour pr\u00e9tendre \u00e0 un syst\u00e8me l\u00e9gitime. Et encore, gardez \u00e0 l’esprit que les logiciels malveillants v\u00e9rifient la configuration des \u00e9quipements. S’il y a le nom d’une machine virtuelle quelque part, un objet malveillant l’identifie et cesse de fonctionner. <\/p>\n
5 \u2014 Installez les logiciels couramment utilis\u00e9s<\/b><\/p>\n
- \n<\/ol>\n
Si vous installez Windows et le laissez tel quel, un objet malveillant obtiendra qu’il soit analys\u00e9. <\/p>\n
Installez quelques applications, telles que Word, des navigateurs et d’autres programmes que tous les utilisateurs poss\u00e8dent g\u00e9n\u00e9ralement. <\/p>\n
6 \u2014 Ouvrir plusieurs fichiers<\/b><\/p>\n
- \n<\/ol>\n
Ici, nous devons montrer qu’il s’agit d’un v\u00e9ritable ordinateur qui appartient \u00e0 quelqu’un. Ouvrez quelques documents pour accumuler des logs et quelques fichiers temporaires. Plusieurs types de virus v\u00e9rifient cela. Vous pouvez utiliser Regshot ou Process Monitor pour cr\u00e9er des journaux des modifications du registre et du syst\u00e8me de fichiers. Notez que ces programmes peuvent \u00eatre d\u00e9tect\u00e9s par des logiciels malveillants lorsqu’ils sont en cours d’ex\u00e9cution. <\/p>\n
7 \u2014 Imitez une connexion r\u00e9seau<\/b><\/p>\n
- \n<\/ol>\n
Certains types de logiciels malveillants v\u00e9rifient s’ils peuvent se connecter \u00e0 des sites Web tels que Google. Comment faire croire \u00e0 un programme malveillant qu’il est en ligne\u00a0? Des utilitaires comme INetSim et l’outil FakeNet imitent une vraie connexion Internet et nous permettent d’intercepter les requ\u00eates faites par les logiciels malveillants. Essayez de v\u00e9rifier les protocoles r\u00e9seau entre un objet malveillant et son serveur h\u00f4te. Mais au pr\u00e9alable, d\u00e9couvrez \u00e0 quoi l’\u00e9chantillon analys\u00e9 se connecte \u00e0 l’aide de WireShark. Et il faut un certain effort pour ne pas abandonner cet outil au malware, soyez prudent.<\/p>\n
8 \u2014 Installer les outils d’analyse<\/b><\/p>\n
- \n<\/ol>\n
Pr\u00e9parez les outils que vous utiliserez pour l’analyse et assurez-vous de savoir comment les utiliser. Vous pouvez utiliser les outils Flare VM ou utiliser ces programmes\u00a0: <\/p>\n
- \n
- Une solution cl\u00e9 en main.<\/strong> Un service polyvalent avec une gamme de configurations pour r\u00e9pondre \u00e0 vos demandes. <\/li>\n<\/ul>\n