Page 1 sur 1

TotalHash & HybridAnalysis

Publié : 18 août 2015 01:59
par ѠOOT
Bonjour,

Je prends 5 minutes pour introduire très brièvement deux services en ligne, que vous connaissiez peut-être, qui permettent d'une part aux utilisateurs d'analyser des fichiers et d'autre part aux { chercheurs / techniciens / analystes ... } en gestion d'incidents de sécurité (SSI) d'enrichir leurs recherches avec une pincée de valeur ajoutée.


#TotalHash de Team Cymru est très pratique pour rechercher des informations, comme par exemple, une IP utilisée par un attaquant ou bien par un code malveillant. L'utilisation des jokers dans les clés de recherches est un vrai plus. Pour illustrer, si je recherche des IPs sur une classe A avec la plage 93.171.132.0/24. J'envoie une requête sur 93.171.132.* et il me retrouve 93.171.132.5 qui me renseigne sur le hash d'un échantillon différent du mien. À vous de tester et d'adapter en fonction de vos usages.


Hybrid Analysis propulsé par VxStream Sandbox de Payload Security ( joebox ) est un excellent bac à sable, avec une interface agréable, à la portée de tous.

Image

C'est également une mine d'informations pour ceux qui s'intéressent de près aux codes malveillants. La liste actualisée des informations des derniers ajouts permet de suivre en temps réel les envois ( submissions ). Les liens directs vers : le binaire de l'échantillon ( binary ) et le rapport d'analyse automatisé ( report ) sont très pratiques. Il y a possibilité de récupérer : le rapport complet, les fichiers créés, déposés, injectés,.. la capture réseau ( pcap ) On notera l'absence d'informations sur la possible signature d'un PE (désormais pris en charge depuis publication), et la présence de quelques gadgets qui n'ont pas grand intérêt pour le commun des mortels, comme la visualisation du PE via PE-Visualizer ( si vous êtes curieux, jetez donc un œil aux travaux autour de SARVAM ) mais globalement les rapports générés sont de qualités. Autre point interessant étant le support de formats comme les PDF, les documents Microsoft Office,... Exemple avec ce rapport d'un document Word piégé qui provient initialement d'un envoi sur Viper.

Il y aurait matière à écrire davantage mais le temps est une denrée rare.
Bref, pour ceux qui ne connaissaient pas ces services : bonne découverte.

19.08.2015: Envois automatiques d'échantillons + intégration des rapports sur VXV ( merci s!ri )

DeepViz & JoeSecurity

Publié : 04 mars 2016 11:47
par Malekal_morte
J'ajoute deux sandbox qui pondent des rapports d'analyses.

Deepviz dont voici un exemple de rapport, les échantillons sont téléchargeables.
DeepViz Sandbox
DeepViz Sandbox
Joesecurity dont voici un exemple, les téléchargements d'échantillons ne sont pas disponibles.
Joesecurity Sandbox
Joesecurity Sandbox