Documente Academic
Documente Profesional
Documente Cultură
L’analyse forensic c'est le fait de retrouver les trace d'une activité malveillante.
Notre présentation portera en premier lieu sur l'analyse de la mémoire d'une machine Windows, le
scénario est le suivant: l'utilisateur d'une machine Windows a ouvert un fichier Word et depuis lors il
n'arrive plus à se connecter à son site préféré.
le dump de la mémoire de sa machine nous a été donne afin de retrouver l'URL de ce site.
// En informatique, le terme dump désigne généralement une copie brute (sans transformation) de
données d'un périphérique à un autre ; par exemple pour effectuer une sauvegarde de données, les
afficher sur un terminal, ou faire persister les données d'une mémoire vive. //
Nous allons rappeler comment se passe l'attaque par macro avec les documents offices.
L'attaque par macro consiste à injecter dans un document Word ou Excel un code vba malicieux afin
de compromettre une machine. Comme Ndeye nous l'a expliqué la fois dernière, l'extension du fichier
malicieux sera de type docm pour les documents Word.
La première étape d'une analyse de mémoire est de déterminer le système d'exploitation du dump de
la mémoire et cela se fait grâce à la commande imageinfo de volatility.
C'est ce que nous allons essayer de faire avec le dump de mémoire à notre disposition.
Avec la commande profile et la commande pslist {pslist qui nous permet d'afficher les processus qui
ont été lancé sur la machine } nous allons commencer notre analyse
Pour quoi commencer par les processus : Tout application exécutée sur la machine crée
automatiquement un processus donc on commence par l'analyse des processus on saura quelles sont
les applications qui ont été ouvertes.
Lancons la commande: volatility -f memory.dmp --profile=Win7SP1x86_23418 pslist
Le but de l'analyse des processus est soit de trouver un processus anormal ou un processus en relation
avec l'attaque subie par la machine. Dans notre cas on sait que l'attaque est en relation avec
l’application Word et l'URL d'un site qui n'est plus accessible. ET pour consulter un site il faut forcément
utiliser un navigateur .
Notre investigation portera d'abord sur un processus Word et le processus d'un navigateur.
DANS la liste il y'a trois processus qui nous intéresse le WINWORD.exe qui est un processus créé lors
de l'ouverture d'un fichier Word et les process iexplore.exe qui concerne le navigateur internet
explorer
L'attaque par macro utilise l'invite de commande pour s'exécuter. C'est pourquoi nous allons
rechercher l'historique de la console cmd. Cela se fait grâce à la commande cmdline
Nous allons voir ce que donne l'historique des commandes. Lançons la commande suivante:
Essayons de voir dans quelle address de mémoire est enregistré le fichier, cela se fait grace à la
commande filescan. Puisqu'on connait le nom du fichier que l'on veut retrouver, on peut appliquer un
filtre grace à la commande linux grep
On voit que que le fichier est enregistré dans 2 adresses de la mémoire donc on peut récupérer le
fichier à fin de l'analyser grace à la commande dumpfiles -Q pour l'adresse de la mémoire et -D pour
donner l'endroit où le fichier sera sauvegardé sur notre machine.
Lançons la commande:
Lancons la commande :
mv file.None.0x84cb24e8.dat Very_sexy.docm
olevba Very_sexy.docm
Analysons le code : on remarque qu'il commence par créer un objet dans le registre
Cette objet fait passer les communications via internet par le proxy suivant
http://192.168.0.19:8080/BenNon.prox
Maintenant pour retrouver l'url nous allons extraire les dump mémoire des deux processus iexplore
pour faciliter l'analyse car dans la liste des processus ils sont les seuls faisant réféérence à un navigateur
et comme nous l'avons dit plus haut on peut joindre un url que via un navigateur
Lançons la commande :
On va essayer de retrouver l'url grâce à une commande linux strings qui nous permet d'extraire les
chaines de caractère dans un fichier.
Lançons la commande en appliquant un filtre pour que toute chaine de caractère contenant le mot url
nous soit renvoyer
On remarque une fonction qui recherche le proxy utiliser par un url *.ashleymadison.com/*. L’asterix
devant et l'asterix derrière signifie tout url contenant le domaine ashleymadison.com.
Nous sommes arrivés à la fin de ce challenge ; voici donc l'url qui a été bloqué lors de l'ouverture du
fichier Word malicieux.
Merci pour votre attention !!