{"id":579064,"date":"2023-01-27T15:54:19","date_gmt":"2023-01-27T17:54:19","guid":{"rendered":"https:\/\/teknomers.com\/fr\/3-lifehacks-tout-en-analysant-orcus-rat-dans-un-bac-a-sable-de-logiciels-malveillants\/"},"modified":"2023-01-27T15:54:21","modified_gmt":"2023-01-27T17:54:21","slug":"3-lifehacks-tout-en-analysant-orcus-rat-dans-un-bac-a-sable-de-logiciels-malveillants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/3-lifehacks-tout-en-analysant-orcus-rat-dans-un-bac-a-sable-de-logiciels-malveillants\/","title":{"rendered":"3 Lifehacks tout en analysant Orcus RAT dans un bac \u00e0 sable de logiciels malveillants"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">27 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Les nouvelles des pirates<\/span><\/span><span class=\"p-tags\">Analyse des logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/any.run\/malware-trends\/orcus?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=orcus0223&amp;utm_content=mtt\" target=\"_blank\">Orcus<\/a> est un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance avec certaines caract\u00e9ristiques distinctives.  Le RAT permet aux attaquants de cr\u00e9er des plugins et offre un ensemble de fonctionnalit\u00e9s de base robuste qui en fait un programme malveillant assez dangereux dans sa cat\u00e9gorie.<\/p>\n<p>RAT est un type assez stable qui arrive toujours au sommet.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1674842059_545_3-Lifehacks-tout-en-analysant-Orcus-RAT-dans-un-bac.png\" alt=\"Principaux types de logiciels malveillants d'ANY.RUN en 2022\" border=\"0\" data-original-height=\"623\" data-original-width=\"727\" title=\"Principaux types de logiciels malveillants d'ANY.RUN en 2022\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Principaux types de logiciels malveillants d&#8217;ANY.RUN en 2022<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>C&#8217;est pourquoi vous rencontrerez certainement ce type dans votre pratique, et la famille Orcus en particulier.  Pour simplifier votre analyse, nous avons rassembl\u00e9 3 lifehacks dont vous devriez profiter.  Nous y voil\u00e0.<\/p>\n<h2>Qu&#8217;est-ce qu&#8217;Orcus RAT ? <\/h2>\n<p><strong>D\u00e9finition<\/strong>.  Orcus RAT est un type de logiciel malveillant qui permet l&#8217;acc\u00e8s et le contr\u00f4le \u00e0 distance des ordinateurs et des r\u00e9seaux.  Il s&#8217;agit d&#8217;un type de cheval de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT) qui a \u00e9t\u00e9 utilis\u00e9 par des attaquants pour acc\u00e9der et contr\u00f4ler des ordinateurs et des r\u00e9seaux.<\/p>\n<p><strong>Capacit\u00e9s<\/strong>.  Une fois t\u00e9l\u00e9charg\u00e9 sur un ordinateur ou un r\u00e9seau, il commence \u00e0 ex\u00e9cuter son code malveillant, permettant \u00e0 l&#8217;attaquant d&#8217;acc\u00e9der et de contr\u00f4ler.  Il est capable de voler des donn\u00e9es, d&#8217;effectuer une surveillance et de lancer des attaques DDoS.<\/p>\n<p><strong>Distribution<\/strong>.  Le logiciel malveillant se propage g\u00e9n\u00e9ralement via des e-mails malveillants, des sites Web et des attaques d&#8217;ing\u00e9nierie sociale.  Il est \u00e9galement souvent associ\u00e9 \u00e0 d&#8217;autres logiciels malveillants, tels que des chevaux de Troie, des vers et des virus.<\/p>\n<h2>Lifehacks pour l&#8217;analyse des logiciels malveillants Orcus RAT<\/h2>\n<p>Le logiciel malveillant est con\u00e7u pour \u00eatre difficile \u00e0 d\u00e9tecter, car il utilise souvent des techniques de cryptage et d&#8217;obscurcissement sophistiqu\u00e9es pour emp\u00eacher la d\u00e9tection.  Et si vous avez besoin d&#8217;acc\u00e9der au c\u0153ur d&#8217;Orcus, la configuration RAT contient toutes les donn\u00e9es dont vous avez besoin. <\/p>\n<p>Et il y a plusieurs astuces auxquelles vous devez pr\u00eater attention lors de l&#8217;analyse d&#8217;Orcus RAT.<\/p>\n<p>Aujourd&#8217;hui, nous \u00e9tudions l&#8217;exemple .NET que vous pouvez t\u00e9l\u00e9charger gratuitement dans <a rel=\"nofollow noopener\" href=\"https:\/\/app.any.run\/submissions?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=orcus0223&amp;utm_content=public_submissions\" target=\"_blank\">Base de donn\u00e9es ANY.RUN<\/a>: <\/p>\n<blockquote><p>SHA-256\u00a0: 258a75a4dee6287ea6d15ad7b50b35ac478c156f0d8ebfc978c6bbbbc4d441e1<\/p><\/blockquote>\n<h3>1 \u2014 Apprenez \u00e0 conna\u00eetre les cours Orcus<\/h3>\n<p>Vous devriez commencer par v\u00e9rifier les classes de logiciels malveillants o\u00f9 vous pouvez obtenir les caract\u00e9ristiques du programme cach\u00e9.  Un tas de donn\u00e9es que les classes contiennent est exactement ce qui sera utile pour votre recherche.<\/p>\n<p>Un espace de noms Orcus.Config a ces classes\u00a0:<\/p>\n<ul style=\"text-align: left;\">\n<li><strong>Const\u00a0: <\/strong>Les donn\u00e9es des fichiers et r\u00e9pertoires d&#8217;Orcus, par exemple le chemin d&#8217;acc\u00e8s au fichier o\u00f9 les frappes de l&#8217;utilisateur sont enregistr\u00e9es ou au r\u00e9pertoire o\u00f9 r\u00e9sident les plug-ins utilis\u00e9s par un \u00e9chantillon.<\/li>\n<li><b>Param\u00e8tres:<\/b> contiennent des m\u00e9thodes wrapper pour d\u00e9chiffrer la configuration du malware et ses plugins.<\/li>\n<li><b>Param\u00e8tresDonn\u00e9es\u00a0:<\/b> est une classe statique uniquement avec les champs de configuration des logiciels malveillants et des plug-ins chiffr\u00e9s. <\/li>\n<\/ul>\n<h3>2 \u2014 Trouver des ressources Orcus RAT<\/h3>\n<p>Une fois que vous plongez dans le <strong>Param\u00e8tres<\/strong> classe, vous pouvez remarquer la <strong>GetDecryptedSettings<\/strong> m\u00e9thode.  Plus tard, il appelle le <strong>AES.D\u00e9crypter<\/strong>.  Et il semble que votre travail soit termin\u00e9 et que la configuration du logiciel malveillant soit enfin trouv\u00e9e.  Mais attendez &#8211; l&#8217;assembly ne contient pas de <strong>Orcus.Shared.Encryption<\/strong> espace de noms. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1674842059_100_3-Lifehacks-tout-en-analysant-Orcus-RAT-dans-un-bac.png\" alt=\"M\u00e9thode GetDecryptedSettingsGetDecryptedSettings method\" border=\"0\" data-original-height=\"153\" data-original-width=\"728\" title=\"M\u00e9thode GetDecryptedSettingsGetDecryptedSettings method\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">M\u00e9thode GetDecryptedSettingsGetDecryptedSettings method<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Orcus RAT stocke des assemblages suppl\u00e9mentaires dans les ressources de logiciels malveillants \u00e0 l&#8217;aide d&#8217;un algorithme de &#8220;d\u00e9gonflage&#8221;.  Vous pouvez aller dans les ressources pour trouver l&#8217;assemblage n\u00e9cessaire.  Les d\u00e9baller vous permettra de r\u00e9v\u00e9ler l&#8217;algorithme de d\u00e9cryptage utilis\u00e9 par un \u00e9chantillon Orcus.  Cela apporte une autre astuce pour aujourd&#8217;hui. <\/p>\n<h3>3 \u2014 D\u00e9chiffrer les donn\u00e9es <\/h3>\n<p>Notre chasse au tr\u00e9sor continue, car les donn\u00e9es de configuration sont crypt\u00e9es. <\/p>\n<p>Orcus RAT chiffre les donn\u00e9es \u00e0 l&#8217;aide de l&#8217;algorithme AES, puis code les donn\u00e9es chiffr\u00e9es \u00e0 l&#8217;aide de Base64. <\/p>\n<p>Comment d\u00e9crypter les donn\u00e9es\u00a0:<\/p>\n<ul style=\"text-align: left;\">\n<li>g\u00e9n\u00e9rer la cl\u00e9 \u00e0 partir d&#8217;une cha\u00eene donn\u00e9e \u00e0 l&#8217;aide de l&#8217;impl\u00e9mentation PBKDF1 de Microsoft <\/li>\n<li>d\u00e9coder les donn\u00e9es de Base64<\/li>\n<li>appliquer la cl\u00e9 g\u00e9n\u00e9r\u00e9e pour d\u00e9chiffrer les donn\u00e9es via l&#8217;algorithme AES256 en mode CBC. <\/li>\n<\/ul>\n<p>\u00c0 la suite du d\u00e9codage, nous obtenons la configuration du logiciel malveillant au format XML.  Et tous les secrets d&#8217;Orcus sont entre vos mains maintenant.<\/p>\n<h3>Obtenez tout \u00e0 la fois dans un bac \u00e0 sable de logiciels malveillants<\/h3>\n<p>L&#8217;analyse des logiciels malveillants n&#8217;est pas un jeu d&#8217;enfant, il faut certainement du temps et des efforts pour d\u00e9chiffrer un \u00e9chantillon.  C&#8217;est pourquoi il est toujours bon de couper la ligne : obtenez tout en m\u00eame temps et en peu de temps.  La r\u00e9ponse est simple\u00a0: utilisez un bac \u00e0 sable malveillant. <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/any.run\/?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=orcus0223&amp;utm_content=landing\" target=\"_blank\">Bac \u00e0 sable des logiciels malveillants ANY.RUN<\/a> r\u00e9cup\u00e8re automatiquement la configuration de l&#8217;Orcus RAT.  C&#8217;est un moyen beaucoup plus simple d&#8217;analyser un objet malveillant.  Essayez-le maintenant &#8211; le service a d\u00e9j\u00e0 r\u00e9cup\u00e9r\u00e9 toutes les donn\u00e9es de ce <a rel=\"nofollow noopener\" href=\"https:\/\/app.any.run\/tasks\/55dce88d-b52c-4a51-b3c8-b8e6dcff0b13?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=orcus0223&amp;utm_content=task\" target=\"_blank\">\u00c9chantillon d&#8217;Orcus<\/a>afin que vous puissiez profiter d&#8217;une recherche fluide. <\/p>\n<blockquote><p>\u26a1 \u00c9crivez le &#8220;<b>hackernews1<\/b>&#8220;code promotionnel \u00e0 support@any.run en utilisant votre adresse e-mail professionnelle et obtenez 14 jours d&#8217;abonnement premium ANY.RUN gratuitement\u00a0!<\/p><\/blockquote>\n<h2>Conclusion <\/h2>\n<p>L&#8217;Orcus RAT se fait passer pour un outil d&#8217;administration \u00e0 distance l\u00e9gitime, bien qu&#8217;il ressorte clairement de ses caract\u00e9ristiques et fonctionnalit\u00e9s qu&#8217;il ne l&#8217;est pas et n&#8217;a jamais \u00e9t\u00e9 destin\u00e9 \u00e0 l&#8217;\u00eatre.  L&#8217;analyse des logiciels malveillants permet d&#8217;obtenir des informations sur la cybers\u00e9curit\u00e9 de votre entreprise. <\/p>\n<p>Prot\u00e9gez votre entreprise contre cette menace &#8211; mettez en \u0153uvre une strat\u00e9gie de s\u00e9curit\u00e9 compl\u00e8te, formez les employ\u00e9s \u00e0 reconna\u00eetre et \u00e0 \u00e9viter les e-mails et les sites Web malveillants, et utilisez un antivirus fiable et un sandbox de logiciels malveillants ANY.RUN pour d\u00e9tecter et analyser Orcus.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/3-lifehacks-while-analyzing-orcus-rat.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80227 janvier 2023\ue804Les nouvelles des piratesAnalyse des logiciels malveillants Orcus est un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance avec certaines caract\u00e9ristiques distinctives. Le RAT permet aux attaquants de cr\u00e9er des plugins et offre un ensemble de fonctionnalit\u00e9s de base robuste qui en fait un programme malveillant assez dangereux dans sa cat\u00e9gorie. RAT est un type [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":579065,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[141934,13998,4168,4158,4165,4161,429,4157,4159,4171,4170,57029,4167,4589,4590,4160,4163,4162,141935,46743,8982,4172,4169,2767,4166,4164],"class_list":["post-579064","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-analysant","tag-bac","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lifehacks","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-orcus","tag-rat","tag-sable","tag-securite-informatique","tag-securite-internet","tag-tout","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/579064","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=579064"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/579064\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/579065"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=579064"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=579064"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=579064"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}