TotalHash & HybridAnalysis

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

TotalHash & HybridAnalysis

Message par ѠOOT » 18 août 2015 01:59

Bonjour,

Je prends 5 minutes pour introduire très brièvement deux services en ligne, que vous connaissiez peut-être, qui permettent d'une part aux utilisateurs d'analyser des fichiers et d'autre part aux { chercheurs / techniciens / analystes ... } en gestion d'incidents de sécurité (SSI) d'enrichir leurs recherches avec une pincée de valeur ajoutée.


#TotalHash de Team Cymru est très pratique pour rechercher des informations, comme par exemple, une IP utilisée par un attaquant ou bien par un code malveillant. L'utilisation des jokers dans les clés de recherches est un vrai plus. Pour illustrer, si je recherche des IPs sur une classe A avec la plage 93.171.132.0/24. J'envoie une requête sur 93.171.132.* et il me retrouve 93.171.132.5 qui me renseigne sur le hash d'un échantillon différent du mien. À vous de tester et d'adapter en fonction de vos usages.


Hybrid Analysis propulsé par VxStream Sandbox de Payload Security ( joebox ) est un excellent bac à sable, avec une interface agréable, à la portée de tous.

Image

C'est également une mine d'informations pour ceux qui s'intéressent de près aux codes malveillants. La liste actualisée des informations des derniers ajouts permet de suivre en temps réel les envois ( submissions ). Les liens directs vers : le binaire de l'échantillon ( binary ) et le rapport d'analyse automatisé ( report ) sont très pratiques. Il y a possibilité de récupérer : le rapport complet, les fichiers créés, déposés, injectés,.. la capture réseau ( pcap ) On notera l'absence d'informations sur la possible signature d'un PE (désormais pris en charge depuis publication), et la présence de quelques gadgets qui n'ont pas grand intérêt pour le commun des mortels, comme la visualisation du PE via PE-Visualizer ( si vous êtes curieux, jetez donc un œil aux travaux autour de SARVAM ) mais globalement les rapports générés sont de qualités. Autre point interessant étant le support de formats comme les PDF, les documents Microsoft Office,... Exemple avec ce rapport d'un document Word piégé qui provient initialement d'un envoi sur Viper.

Il y aurait matière à écrire davantage mais le temps est une denrée rare.
Bref, pour ceux qui ne connaissaient pas ces services : bonne découverte.

19.08.2015: Envois automatiques d'échantillons + intégration des rapports sur VXV ( merci s!ri )
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87611
Inscription : 10 sept. 2005 13:57
Contact :

DeepViz & JoeSecurity

Message par Malekal_morte » 04 mars 2016 12:47

J'ajoute deux sandbox qui pondent des rapports d'analyses.

Deepviz dont voici un exemple de rapport, les échantillons sont téléchargeables.
deepviz.png
DeepViz Sandbox
Joesecurity dont voici un exemple, les téléchargements d'échantillons ne sont pas disponibles.
joesecurity.org.png
Joesecurity Sandbox
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Tech, Tips & Tricks »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité