Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

TotalHash & HybridAnalysis

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

TotalHash & HybridAnalysis

Message par ѠOOT »

Bonjour,

Je prends 5 minutes pour introduire très brièvement deux services en ligne, que vous connaissiez peut-être, qui permettent d'une part aux utilisateurs d'analyser des fichiers et d'autre part aux { chercheurs / techniciens / analystes ... } en gestion d'incidents de sécurité (SSI) d'enrichir leurs recherches avec une pincée de valeur ajoutée.


#TotalHash de Team Cymru est très pratique pour rechercher des informations, comme par exemple, une IP utilisée par un attaquant ou bien par un code malveillant. L'utilisation des jokers dans les clés de recherches est un vrai plus. Pour illustrer, si je recherche des IPs sur une classe A avec la plage 93.171.132.0/24. J'envoie une requête sur 93.171.132.* et il me retrouve 93.171.132.5 qui me renseigne sur le hash d'un échantillon différent du mien. À vous de tester et d'adapter en fonction de vos usages.


Hybrid Analysis propulsé par VxStream Sandbox de Payload Security ( joebox ) est un excellent bac à sable, avec une interface agréable, à la portée de tous.

Image

C'est également une mine d'informations pour ceux qui s'intéressent de près aux codes malveillants. La liste actualisée des informations des derniers ajouts permet de suivre en temps réel les envois ( submissions ). Les liens directs vers : le binaire de l'échantillon ( binary ) et le rapport d'analyse automatisé ( report ) sont très pratiques. Il y a possibilité de récupérer : le rapport complet, les fichiers créés, déposés, injectés,.. la capture réseau ( pcap ) On notera l'absence d'informations sur la possible signature d'un PE (désormais pris en charge depuis publication), et la présence de quelques gadgets qui n'ont pas grand intérêt pour le commun des mortels, comme la visualisation du PE via PE-Visualizer ( si vous êtes curieux, jetez donc un œil aux travaux autour de SARVAM ) mais globalement les rapports générés sont de qualités. Autre point interessant étant le support de formats comme les PDF, les documents Microsoft Office,... Exemple avec ce rapport d'un document Word piégé qui provient initialement d'un envoi sur Viper.

Il y aurait matière à écrire davantage mais le temps est une denrée rare.
Bref, pour ceux qui ne connaissaient pas ces services : bonne découverte.

19.08.2015: Envois automatiques d'échantillons + intégration des rapports sur VXV ( merci s!ri )
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Malekal_morte
Site Admin
Site Admin
Messages : 102570
Inscription : 10 sept. 2005 13:57
Contact :

DeepViz & JoeSecurity

Message par Malekal_morte »

J'ajoute deux sandbox qui pondent des rapports d'analyses.

Deepviz dont voici un exemple de rapport, les échantillons sont téléchargeables.
DeepViz Sandbox
DeepViz Sandbox
Joesecurity dont voici un exemple, les téléchargements d'échantillons ne sont pas disponibles.
Joesecurity Sandbox
Joesecurity Sandbox
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Tech, Tips & Tricks »