Exemple de rapport de stage seconde pro

L`entropie est une mesure de la randomité dans une séquence d`octets, qui composent le contenu des sections. Il y a un étrange appel indirect à ESI à 0x407244. Avant de sauter à droite dans IDA Pro et la lutte contre le démontage, il est souvent utile d`effectuer une analyse statique initiale du fichier PE pour obtenir quelques idées sur l`emballage et d`autres techniques de l`obscurcissement du code potentiel. En outre, ils peuvent fournir des preuves de logiciels malveillants qui est emballé. Comme l`IDA n`a pas été en mesure de suivre cette logique, nous devons démonter le code à cet endroit. Il semble qu`il y ait deux voies possibles pour qu`il puisse aller, à la fois avec des méthodes non conventionnelles d`y aller. En utilisant un outil comme Process Hacker, nous pouvons extraire ce shellcode de la mémoire et le démonter. Il y a un appel à DWORD_0, qui représente en fait le début de cette section de code (. Ceci est généralement mesuré sur une échelle de zéro à huit, avec huit étant la mesure la plus élevée de l`entropie. Celui-ci était un Trojan bancaire, mais la prochaine fois il pourrait être quelque chose de totalement différent ou complètement nouveau.

C`est probablement le moment où le malware reçoit le code pour son vrai but prévu. Supposons que le document Word armé a réussi, contournant toutes les défenses stratifiées existantes, et maintenant l`étape suivante commence. Comme avec notre analyse précédente, nous devons déterminer quel type de code obscurcissement nous traitons avec elle. Les cordes sont un bon premier indicateur, et la présence ou le manque de cordes peuvent fournir un aperçu critique dans le programme. Vers la fin de cette fonction est un autre appel de fonction indirecte. Bien sûr, ils sont des pointeurs de fonction! Cela prend l`exécution à la première instruction après le retour. Gardez à l`esprit que j`ai extrait ce que shellcode de la. La détection n`a pas réussi à arrêter les étapes initiales de l`attaque, ce qui a donné à l`attaquant la liberté totale de placer des charges utiles secondaires sur le PC de la victime. Au lieu de continuer avec l`analyse statique, nous pouvons maintenant tourner vers WinDbg pour l`analyse dynamique pour voir où cet appel va. Chaque nom de processus est converti en une chaîne multioctets, changée en majuscule, puis utilisée pour créer une somme de contrôle CRC32. Cette ressource est extraite d`un nœud de commande et de contrôle, puis est utilisée pour créer un autre processus. L`appel $ + 5 est une technique de code Shell commune pour obtenir l`adresse de la pile, comme l`instruction d`appel va pousser l`adresse de l`instruction suivante (ajouter [ESP + 10h + var_10], 5) sur la pile, puis ajoutez 5 à elle.

Sub_F90 peut être responsable de la résolution des API. Cette fonction est limitée dans la fonctionnalité, mais il s`avère finalement être l`emplacement responsable de la prochaine étape de ce malware. Les attaquants n`arrêtent jamais d`innover — et ils sont toujours une étape ou deux avant les défenseurs axés sur la détection — afin d`envisager l`isolement et le contrôle des applications en utilisant la sécurité basée sur la virtualisation pour protéger vos points de terminaison contre tout ce qu`ils viennent avec la prochaine.

Les commentaires sont fermés.