TotalHash & HybridAnalysis
TotalHash & HybridAnalysis
Bonjour,
Je prends 5 minutes pour introduire très brièvement deux services en ligne, que vous connaissiez peut-être, qui permettent d'une part aux utilisateurs d'analyser des fichiers et d'autre part aux { chercheurs / techniciens / analystes ... } en gestion d'incidents de sécurité (SSI) d'enrichir leurs recherches avec une pincée de valeur ajoutée.
☣ #TotalHash de Team Cymru est très pratique pour rechercher des informations, comme par exemple, une IP utilisée par un attaquant ou bien par un code malveillant. L'utilisation des jokers dans les clés de recherches est un vrai plus. Pour illustrer, si je recherche des IPs sur une classe A avec la plage 93.171.132.0/24. J'envoie une requête sur 93.171.132.* et il me retrouve 93.171.132.5 qui me renseigne sur le hash d'un échantillon différent du mien. À vous de tester et d'adapter en fonction de vos usages.
☣ Hybrid Analysis propulsé par VxStream Sandbox de Payload Security ( joebox ) est un excellent bac à sable, avec une interface agréable, à la portée de tous.
C'est également une mine d'informations pour ceux qui s'intéressent de près aux codes malveillants. La liste actualisée des informations des derniers ajouts permet de suivre en temps réel les envois ( submissions ). Les liens directs vers : le binaire de l'échantillon ( binary ) et le rapport d'analyse automatisé ( report ) sont très pratiques. Il y a possibilité de récupérer : le rapport complet, les fichiers créés, déposés, injectés,.. la capture réseau ( pcap ) On notera l'absence d'informations sur la possible signature d'un PE (désormais pris en charge depuis publication), et la présence de quelques gadgets qui n'ont pas grand intérêt pour le commun des mortels, comme la visualisation du PE via PE-Visualizer ( si vous êtes curieux, jetez donc un œil aux travaux autour de SARVAM ) mais globalement les rapports générés sont de qualités. Autre point interessant étant le support de formats comme les PDF, les documents Microsoft Office,... Exemple avec ce rapport d'un document Word piégé qui provient initialement d'un envoi sur Viper.
Il y aurait matière à écrire davantage mais le temps est une denrée rare.
Bref, pour ceux qui ne connaissaient pas ces services : bonne découverte.
19.08.2015: Envois automatiques d'échantillons + intégration des rapports sur VXV ( merci s!ri )
Je prends 5 minutes pour introduire très brièvement deux services en ligne, que vous connaissiez peut-être, qui permettent d'une part aux utilisateurs d'analyser des fichiers et d'autre part aux { chercheurs / techniciens / analystes ... } en gestion d'incidents de sécurité (SSI) d'enrichir leurs recherches avec une pincée de valeur ajoutée.
☣ #TotalHash de Team Cymru est très pratique pour rechercher des informations, comme par exemple, une IP utilisée par un attaquant ou bien par un code malveillant. L'utilisation des jokers dans les clés de recherches est un vrai plus. Pour illustrer, si je recherche des IPs sur une classe A avec la plage 93.171.132.0/24. J'envoie une requête sur 93.171.132.* et il me retrouve 93.171.132.5 qui me renseigne sur le hash d'un échantillon différent du mien. À vous de tester et d'adapter en fonction de vos usages.
☣ Hybrid Analysis propulsé par VxStream Sandbox de Payload Security ( joebox ) est un excellent bac à sable, avec une interface agréable, à la portée de tous.
C'est également une mine d'informations pour ceux qui s'intéressent de près aux codes malveillants. La liste actualisée des informations des derniers ajouts permet de suivre en temps réel les envois ( submissions ). Les liens directs vers : le binaire de l'échantillon ( binary ) et le rapport d'analyse automatisé ( report ) sont très pratiques. Il y a possibilité de récupérer : le rapport complet, les fichiers créés, déposés, injectés,.. la capture réseau ( pcap ) On notera l'absence d'informations sur la possible signature d'un PE (désormais pris en charge depuis publication), et la présence de quelques gadgets qui n'ont pas grand intérêt pour le commun des mortels, comme la visualisation du PE via PE-Visualizer ( si vous êtes curieux, jetez donc un œil aux travaux autour de SARVAM ) mais globalement les rapports générés sont de qualités. Autre point interessant étant le support de formats comme les PDF, les documents Microsoft Office,... Exemple avec ce rapport d'un document Word piégé qui provient initialement d'un envoi sur Viper.
Il y aurait matière à écrire davantage mais le temps est une denrée rare.
Bref, pour ceux qui ne connaissaient pas ces services : bonne découverte.
19.08.2015: Envois automatiques d'échantillons + intégration des rapports sur VXV ( merci s!ri )
-
Malekal_morte
- Site Admin
- Messages : 93277
- Inscription : 10 sept. 2005 13:57
- Contact :
DeepViz & JoeSecurity
J'ajoute deux sandbox qui pondent des rapports d'analyses.
Deepviz dont voici un exemple de rapport, les échantillons sont téléchargeables.
Joesecurity dont voici un exemple, les téléchargements d'échantillons ne sont pas disponibles.
Deepviz dont voici un exemple de rapport, les échantillons sont téléchargeables.
- DeepViz Sandbox
- Joesecurity Sandbox
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.