Analyse

de code malveillant
Pratique

Hardik Shah, Anthony L. Williams

Degr de difficult

LInternet et les rseaux informatiques ont longtemps t infest

par du code malveillant et ses effets nfastes. Cet article vous
donnera une introduction sur lutilisation pratique et basique
dans un environnement contrl de lanalyse des malwares.

O
n peut dfinir le code malveillant
comme du code ayant t dvelopp
pour excuter diverses activits no-
cives sur un ordinateur. Des exemples dune
telle activit peuvent tre des actions comme :
le vol de donnes utilisateur ou informations
personnelles, infectant dautres machines sur
un rseau ou envoyant du Spam au travers des
machines infectes. Il y a diffrents niveaux
de code malveillant qui incluent les virus mais
ne sy limitent pas, notamment : vers, Chevaux
de Troie et bots. Chacune de ces catgories
a des caractristiques diffrentes selon leur but
prvu. En avanant, notre objectif est de discu-
ter des diverses techniques que nous pouvons
employer pour analyser de manire efficace un
tel code malveillant.
Types de Code Malveillant
Discutons des dfinitions de base de quelques
uns des divers types de codes malveillants :
Virus : Les virus sont des programmes
simples, qui sont crits pour changer la
manire dont un ordinateur travaille sans
laccord de lutilisateur. Un virus ne peut
infecter dautres ordinateurs sur un Rseau
jusqu ce quune personne excute un fi-
chier infect.
Cheval de Troie : Dans le milieu du logiciel,
un Cheval de Troie est un programme qui,
la diffrence dun virus possde ou installe
un programme malveillant (parfois nomm
payload ou Trojan) tout en ayant lapparence
dtre autre chose.
Ver : Un ver est un programme dordina-
teur auto-rplicant. Il utilise le rseau pour
envoyer des copies de lui-mme dautres
nuds (terminaux dordinateurs sur le
Cet article explique ...
Quest-ce que le code malveillant.
Outils et techniques utiliss pour lanalyse de
code malveillant.
Comment analyser le ver : NetSky-P.
Ce qu'il faut savoir ...
Techniques lmentaires de dbogage binaire.
Les bases de lanalyse de paquets.
Environnement Windows.

38 hakin9 N 10/2007 www.hakin9.org


Figure 1. File insPEctor
rseau) et peut le faire ainsi sans
lintervention de lutilisateur.
Bots : un bot est un programme
malveillant qui reoit des instruc-
tions de celui qui le contrle et ef-
fectue des oprations selon ses
instructions. De part leur nature les
bots se dupliqueront en utilisant
diffrentes techniques comme
lexploitation de systmes distants,
en envoyant des e-mails utilisant
le social engineering et crant
par consquent un rseau de bots
dsigns sous le nom de : Botnets.
Ce rseau dordinateurs com-
promis peuvent tre utiliss pour
dclencher des attaques par Dni
de Service distribu, installer des
malwares ou faire dautres activi-
ts nfastes. Les Bots deviennent
de plus en plus populaires.
Vulnrabilits
Du code malveillant provenant de
vers ou de bots exploite des vul-
nrabilits au niveau logiciel dans
un ordinateur. Ces exploits peuvent
avoir comme rsultat le vol de don-
nes importantes comme des mots
de passe et dinformations sur les car-
tes de crdit et le lancement datta-
ques DDoS afin de menacer un indi-
vidu et de lui extorquer de largent.
Beaucoup dauteurs de Botnets four-
nissent mme leurs rseaux pirates
de machines zombies pour le louer
Analyse de code malveillant
pour de tels programmes. Le seul
moyen de comprendre ces program-
mes est de les analyser et dter-
miner leur fonctionnement interne.
Une autre raison pourrait tre que
beaucoup de chercheurs aiment ex-
plorer les fonctionnements cachs
dun programme en lexaminant
avec un dsassembleur et un dbo-
gueur. Il y a 2 techniques majeures
pour analyser ce code :
lanalyse statique (analyse dead),
lanalyse dynamique (analyse live).
Nous discuterons de chacune de
ces techniques dans les sections
suivantes.
Pour cette analyse particulire
nous avons choisi le vers : NetSky-P.
Il se trouve parmi le TOP 10 des vers
dautres. De tels logiciels impli- rapports par Sophos Anti-Virus en
quent beaucoup de difficults lies mai 2007 (http://www.sophos.com/
la scurit des utilisateurs dordi- security/top-10/).
nateurs.
Plusieurs organismes ont perdu Lanalyse statique
des millions de dollars en raison de (dead)
la prolifration de ce type de logi- Lanalyse statique est lapproche la
ciels au sein de leurs rseaux. Par plus sre pour inspecter tout fichier
exemple du code malveillant a d- binaire malveillant. En utilisant cette
truit lensemble des programmes technique danalyse nous nexcutons
et des sources dans une firme nord
amricaine. Suite cela cette entre-
prise a perdu des millions de dollars,
a t dclasse de sa position dans
lindustrie et a du licencier plus de 80
employs.
Le besoin de lanalyse
Tout comme lcriture de code mal-
veillant, il y a une myriade de rai-
sons danalyser les vers, virus et
malwares. La raison principale der-
rire lanalyse de malwares est quil
ny a aucune source disponible Figure 2. Objet de le-mail
Listing 1. La dcompression du fichier avec UPX
C:\Documents and Settings\Hardik Shah\Desktop\upx300w\upx300w>upx -d
malware.exe
Ultimate Packer for eXecutables
Copyright (C) 1996,1997,1998,1999,2000,2001,2002,2003,2004,2005,2006,2007
UPX 3.00w Markus Oberhumer, Laszlo Molnar & John Reiser Apr 27th 2007
File size Ratio Format Name
-------------------- ------ ----------- -----------
28160 <- 6384 58.18% win32/pe malware.exe
Unpacked 1 file.
www.hakin9.org hakin9 N 10/2007 39
 Pratique
Figure 3. Messages diffuss
jamais le programme mais utilisons
divers dsassembleurs comme :
Win32Dasm ou IDA Pro pour tudier
sans risque le contenu du fichier
binaire. Nous utiliserons ces outils
pour analyser le vers NetSky-p dans
les sections suivantes.
Packers
et unpackers
Il y a un format de fichier commun
pour les excutables sur la plate-
forme MS Windows, appel format
PE. Chaque fichier excutable sur
un systme MS Windows est ce
format de fichier. Habituellement
lauteur du code malveillant utilise
diffrentes techniques pour rendre
lanalyse plus complique en utilisant
des techniques de base.
Une approche commune pour
beaucoup dauteurs de malwares
est dutiliser ce qui est mieux connu
comme : des packers excutables
qui rduisent la taille de lexcutable
et changent le contenu en utilisant
des algorithmes spcifiques dobfus-
cation. Dans ce cas un dsassem-
blage classique ne sera pas efficace.
Parmi les packers de fichiers les plus
utiliss citons : UPX et AS Pack.
Pour dterminer le packer de
fichier nous pouvons utiliser loutil :
File insPector XL.
Comme son nom l'indique il inspec-
tera le fichier la recherche de sig-
natures de packers communes partir
desquels il pourra facilement dtecter
le packer utilis. Il est ensuite nces-
saire dunpacker les fichiers pour la
phase danalyse. Il y a de nombreux
outils pour unpacker les fichiers sous
environnement protg. Un tel outil est
PEID et un autre est ProcDump. Avec
ces outils on peut unpacker la plupart
des fichiers de type packer.
40 hakin9 N 10/2007
gratuitement tlchargement de-
puis Sourceforge.net. Aprs tl-
chargement et installation il peut tre
excut en ligne de commande avec
le nom de fichier de notre malware
comme argument gnrant laffi-
chage du Listing 1.
Dsassembler
et identifier des
chanes de donnes
Parfois les auteurs de malwares Un fichier excutable malveillant peut
rendent plus compliqu la dcom- contenir plusieurs chanes que le
pression un fichier en particulier en programmeur a intgres durant la
obfuscant ses octets de signature phase de dveloppement. De tel-
dans lexcutable, pour que les les chanes peuvent apporter des
outils mentionns ci-dessus ne puis- messages derreurs ou peuvent
sent dtecter les bons packers. tre lis au code. Par exemple si un
Pour outrepasser ce problme des fichier excutable envoie des mails
outils comme : ProcDump ont une alors il peut possder plusieurs ty-
option danalyse heuristique, qui pes de chanes pour les diffrents
fera une analyse heuristique du objets comme : RE:Voici la pice
packer employ. Dans certains cas
il faut unpacker manuellement le
fichier en question. Un unpacking
manuel est un autre thme intres-
sant que nous naborderons pas
ici par commodit (manque des-
pace).
Dans le cadre de cet article on
restera avec les outils mentionns
ci-dessus pour lunpacking.
Laction initiale que nous allons
entreprendre est de dterminer si
le fichier en cours danalyse est est
de type packer ou non. Pour cela
nous utiliserons : File insPEctor XL.
Comme vous le voyez la Figure 1.
Cet outil rapporte que le fichier
est packag en utilisant Ultimate
Packer for Executables (UPX). UPX Figure 4. Extensions de fichiers
est un outil open source disponible pices jointes
Figure 5. fichier de contamination
www.hakin9.org

jointe,++Aucun virus trouv++ etc.
Aprs avoir unpack le fichier on
doit le dsassembler en utilisant un
outil comme : Win32Dasm ou IDA
Pro pour analyser les chanes de texte
usuelles. Cette analyse nous donnera
Figure 6. Entres register utilises par NetSky-P
Figure 7. Illustration breakpoint sur chanes
Figure 8. Entre Registre cre par le ver
une ide globale du fonctionnement
du fichier. Il y a plusieurs chanes, que
lon peut dterminer par analyse. Ces
chanes peuvent contenir le corps des
e-mails, objet, ou nom du fichier joint,
quun vers envoie en pice jointe etc.
www.hakin9.org
Analyse de code malveillant
Maintenant que nous avons un-
pack avec succs lexcutable on
peut procder au dsassemblage
et effectuer un travail dinvestigation
approfondi. Effectuons une analyse
statique de cet excutable en utili-
sant le dsassembleur IDA Pro. La
premire chose que nous recherche-
rons sont les chanes. Les chanes
au sein dun excutable peuvent
fournir un ensemble dinformations
telles que : lobjet du mail, message,
entres du registre, extensions du
fichier et leur nom.
Lexemple suivant montre lobjet
de le-mail quutilise le vers NetSky-P
lorsquil envoie des mails depuis la
machine infecte (Figure 2).
Objet de le-mail
La Figure 3 montre les diffrentes
chanes quil possde pour les me-
ssages diffuser. La Figure 4 affiche
les diffrents types dextensions de
fichiers que le vers Netsky-P insre
dans les pices jointes envoyes.
La Figure 5 montre le nom des
fichiers utiliss sur le systme infec-
t. La Figure 6 illustre quelques unes
des entres registres utilises par le
vers. Bas sur les informations col-
lectes jusqu prsent il est facile
den dduire que le vers Net-Sky-P
envoie des e-mails en utilisant di-
verses chanes dans le champs ob-
jet de le-mail, de noms de fichiers
et dextensions. En plus de tout cela
il stocke plusieurs entres registres
afin dtre excut chaque d-
marrage de lordinateur.
Analyse Dynamique
Dans une analyse dynamique (live)
nous devons vrifier le fonctionnement
global et le fonctionnement interne
du code actuellement en lexcutant
dans un environnement contrl. Ceci
nous aide liminer les faux-positifs
de la phase danalyse statique.
Des auteurs de malwares incluent
de faon intentionnelle plusieurs
chanes et fonctions afin dempcher
lanalyse prcise de leur malware (ou
incluent du code pour dtecter quil
fonctionne dans les confins dune
machine virtuelle afin de changer
son chemin dexcution) ; de telles
hakin9 N 10/2007 41
 Pratique

tentatives dobfuscation peuvent tre diverses tches pour envoyer des pour l'excuter chaque fois que lor-
dtectes pendant lAnalyse Dyna- e-mails. dinateur dmarre. Ils crent cette
mique. fin des entres registre.
Pour cela on a mis en place 2 Cls de Registre Pour analyser un tel comporte-
environnements de test sexcutant Pour se rpandre, un code malveil- ment on utilisera un outil appel : Re-
sous MS Windows XP Professional lant a besoin dtre lanc dune faon gMon de Sysinternals. Il affichera len-
SP2. Sur la premire machine on ou dune autre, soit en excutant le semble des entres registre utilises
a install Ollydbg pour permettre le fichier malveillant ou en cliquant sur par un programme. Pour analyser le
dbogage du vers Net-Sky-P et le un lien web malveillant ou depuis vers NetSky-P nous lavons excut
deuxime systme tait connect loption autorun disponible dans le et avons vrifi les multiples accs
au mme rseau de sorte que nous registre Windows. Les malwares mo- au registre dans les logs de RegMon.
puissions surveiller efficacement les dernes utilisent diverses techniques Il essaye daccder plusieurs cls
diverses activits du vers en temps de social engineering afin de mani- mentionnes prcdemment.
rel. On a ensuite lanc Wireshark puler les utilisateurs non seulement Un dtail que nous avons observ
sur les 2 ordinateurs et aussi Reg- lexcuter la premire fois mais aussi tait que le vers crait une nouvelle
Mon, ainsi que FileMon sur le second
systme infect.
Il est important de noter que vous
devez prendre des prcautions en
manipulant les malwares afin de les
conserver uniquement dans lenvi-
ronnement de travail. Dans notre cas
nous avons choisi un rseau air-gap-
ped sans laccs nos rseaux de
production ou Internet.
Beaucoup de gens choisissent le
populaire VMWare Suite pour pro-
cder des tests dans les confins
dune machine virtuelle. Il sagit dun
choix personnel pour lenvironnement
de test, mais nous vous invitons
en employer un scuris. Aprs
avoir prpar lenvironnement, on a
lanc le dbogueur OllyDbg et avons
localis le fichier NetSky.exe. Aprs
cela nous avons mis le point darrt Figure 9. Base64 FileMon
(breakpoint) sur diffrentes chanes
comme montres en Figure 7. Dans
limage 7 nous mettons un breakpoint
sur la chane System\ Current Control
Set\ Services\ WksPatch et excu-
tons OllyDebugger.
Il sest arrt sur celui-ci. Une
examination attentive des chanes
confirme les rsultats prcdents
dtermins pendant la phase stati-
que de lanalyse. Maintenant nous
allons remplacer les breakpoints de
dpart et utiliser les animations on fly
et divers autres options de dbogage
comme : step in (pas pas), step out
(pas pas aux appels) pour tracer
les diffrents appels aux API de Win-
dows comme : GetInternetConnectio
nState() et RegCreateKeyEx().
De cette analyse on peut d-
terminer que le ver cr galement Figure 10. Fichier dcod

42 hakin9 N 10/2007 www.hakin9.org


entre au registre via HKEY_LOCAL_
MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run comme
affich la Figure 8. Nous avons en-
suite analys le dossier Windows et
y avons trouv 2 nouveaux fichiers
AVBgle.exe et Base64.tmp.
FileMon
Du code malveillant peut se modifier
ou se rpliquer en utilisant diffrents
noms dans plusieurs endroits.
Il peut galement tlcharger
et excuter dautres fichiers comme
des : backdoors depuis un lieu dis-
tant et le placer sur le systme in-
fect. Afin dtudier ce comportement,
on peut utiliser un outil nomm Fi-
leMon galement disponible chez
Sysinternals.
Pour continuer lanalyse nous
avons redmarr le systme de
test infect et avons lanc RegMon,
FileMon et Wireshark de nouveau.
Nous avons vrifi les logs de File-
Mon et le point commun que nous
avons trouv tait quil accdait
continuellement un fichier nomm
Base64.tmp. Comme son nom le
suggerait, on pouvait supposer que
Figure 11. Paquet Dump
Figure 12. Analyse des paquets plus prcise
le fichier a t crypt avec lalgorith-
me Base64. Par consquent nous
avons utilis un dcodeur base64
pour dterminer que notre fichier
tait bien : NetSky-P.
Base64 FileMon
La figure 10 montre le fichier d-
cod qui tait au format base64. En
regardant le contenu il est clair quil
sagit dun fichier excutable tant
donn quil possde len-tte MZ qui
est un en-tte standard pour les fi-
chiers excutables sur la plateforme
Windows.
Capture
de Paquets et Analyse
La plupart des malwares dans la
nature actuellement essayient de
contaminer dautres machines sur
le rseau ou bien font partie des
botnets et envoient ainsi beaucoup
de spam depuis des machines in-
fectes ou bien peuvent galement
envoyer beaucoup dinformations
depuis des systmes compromis
comme les habitudes de navigation
des utilisateurs, mots de passe, d-
tails de comptes bancaires etc. Les
www.hakin9.org
Analyse de code malveillant
malwares peuvent galement tre
utilises pour lancer des attaques
DDoS sur Internet.
Pour dtecter cela on doit utili-
ser un Sniffer de paquets comme
Wireshark qui peut capturer le traf-
fic rseau passant par la machine
infecte. Base sur lanalyse des
donnes capture, on peut dter-
miner une varit de dtails. Par
exemple sil sagit dun botnet :
quels sont les instructions de con-
trle, depuis quels serveurs il tl-
charge les fichiers et quel type de
spam il envoie.
Nous avons ensuite dcid de
sauvegarder le fichier dcod sous :
decoded.exe et de louvrir avec IDA
Pro pour investigation. Depuis notre
poste de travail danalyse, nous avons
remarqu que : AVBgle.exe scannait
le fichier index.dat dans le dossier
Temporary Internet Files sur le sys-
tme infect. Ceci est intressant
et permet de dduire que celui-ci
envoyait alatoirement beaucoup
de-mails grce aux adresses mails
trouves dans ce rpertoire.
Ce comportement est exhib
dans le paquet de type : dump mon-
tr la Figure 11. Une analyse des
paquets plus prcise est illustre la
Figure 12. Dans les circonstances ac-
tuelles nous avons dcid d'excuter
une analyse des paquets du ver. Nous
avons not qu'au dbut il essayait
d'excuter plusieurs requtes DNS
pour des serveurs externes tels que
Yahoo!, AOL, et Hotmail.
Aprs ceci, il envoyait des mails
avec divers objets, noms de fichiers,
comme prsent prcdemment. La
Figure 13 en est une illustration.
Identifier les Algorithmes
de Rplication
Les malwares ne fonctionnent pas
dans le vide. Pour saccrotre ils doi-
vent engendrer plusieurs instances
du mme code, pouvant travailler
conjointement sous le contrle dune
personne pour raliser des activits
nocives. Par consquent il essaie
sans interruption dinfecter (ou rin-
fecter selon les cas) les autres machi-
nes sur rseau local ou sur Internet.
Les malwares utilisent une varit de
hakin9 N 10/2007 43
 Pratique

techniques pour y parvenir. En voici En utilisant ces techniques, on peut que cette analyse nest pas complte,
les exemples : analyser le fonctionnement interne notre but tant de donner une vision
du code malveillant. Acqurir de telles globale sur lutilisation de diffrents
lenvoi de mails avec une pice comptences demande du temps, outils pour lanalyse de malwares
jointe possdant du code malveil- de lintuition, de la patience et du et des techniques pour analyser le
lant, dvouement. On saperoit finalement code malveillant daujourdhui. l
exploiter les logiciels de lordina-
teur en utilisant des vulnrabilits
ou failles de type : 0day, Rfrences et Autres Lectures
exploiter les vulnrabilits du
systme dexploitation lui-mme. http://www.smallbiztrends.com/2007/06/top-five-small-business-internet-security-
threats.html
Afin didentifier avec exactitude lal- http://www.offensivecomputing.net/
http://www.viruslist.com/
gorithme de rplication utilis on doit
http://vx.netlux.org/
excuter le code malveillant dans un
http://hexblog.com/
environnement contrl et tracer le
code au sein dun dbogueur. Pour
ce type danalyses on utilisera Ol-
Outils
lydbg pour identifier lalgorithme de VMWare (Virtualization Software) http://www.vmware.com/
rplication. IDA Pro/Freeware (Dissembler) http://www.datarescue.com/
Dans certains cas il nest pas pos- Ollydbg (Popular Ring 3 Debugger) http://www.ollydbg.de/download.htm
sible didentifier lalgorithme avec le UPX (Ultimate Packer for Executables) http://upx.sourceforge.net/
dbogueur seul. Dans ces scnarios ImpREC(Import Reconstruction for PE files) http://securityxploded.com/
on doit combiner dautres techniques download.php#imprec
telles que la capture de paquets afin Windows Sysinternals(FileMon,RegMon) http://www.microsoft.com/technet/
sysinternals/default.mspx
que nous puissions dterminer si le
malware utilise un exploit connu ou
non ou dautres comportements vi-
sibles. Vu lanalyse prcdente il est
vident que le ver NetSky-P est un
propos des auteurs
Hardik Shah se spcialise dans la Scurit des Rseaux, le Reverse Engineering et
mail bomber qui se replique au sein
lAnalyse de code malveillant. Il sintresse la scurit web et celle des applica-
dun e-mail, en attente dutilisateurs tions. On peut le joindre l'adresse : hardik05@gmail.com Anthony L. Williams est
confiants pour louvrir. Architecte en Scurit Informatique pour IRON::Guard Security, LLC o il conduit des
Il utilise plusieurs techniques de test d'intrusion (Pen Test), valuations de vulnrabilits, audits et rponse en cas din-
social engineering pouvant tromper cident. On peut le joindre l'adresse : awilliams@ironguard.net.
les utilisateurs dbutant en employant
des termes comme : Aucun Virus
Trouv!! dans le contenu du mail.
Si les utilisateurs ne sont pas con-
scients de ce type de mfaits alors il
est possible dinfecter la machine en
question.

Conclusion
Le code malveillant a toujours t une
menace pour les utilisateurs. De nos
jours, avec Internet, les malwares sont
intensment employs pour gnrer
du trafic sur les sites, gnrer des liens
invalides qui conduisent lutilisateur
des sites infects, lancer des atta-
ques de Deni de Service (DDoS) pour
voler des donnes personnelles et con-
fidentielles. Ils emploient maintenant
une varit de techniques telle que les
exploits dit 0days pour permettre leur
rplication plus rapidement. Figure 13. Action du ver

44 hakin9 N 10/2007 www.hakin9.org

 Analyse de code malveillant

www.hakin9.org hakin9 N 10/2007 45