HSC
Network Security Consulting Agency Since 1989 - Specialized in Unix, Windows, TCP/IP and Internet
Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Resources > Articles > Présentation des investigations sommaires menées par HSC sur un échantillon des binaires utilisés lors de l'attaque nommé APT1 par la société Mandiant.
Go to: HSC Trainings
Search:  
Version française
   Services   
o Skills & Expertise
o Consulting
o ISO 27001 services
o Audit & Assessment
o Penetration tests
o Vunerability assessment (TSAR)
o Forensics
o ARJEL
o Training courses
o E-learning
   Conferences   
o Agenda
o Past events
o Tutorials
   Resources   
o Thematic index
o Tips
o Lectures
o Courses
o Articles
o Tools (download)
o Vulnerability watch
   Company   
o Hervé Schauer
o Team
o Job opportunities
o Credentials
o History
o Partnerships
o Associations
   Press and
 communication
 
 
o HSC Newsletter
o Press review
o Press releases
o Publications
   Contacts   
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
|>|Présentation des investigations sommaires menées par HSC sur un échantillon des binaires utilisés lors de l'attaque nommé APT1 par la société Mandiant.  
> Access to the content HTML Beginning of the article
PDF PDF version [619KB]  
> Description Présentation des investigations sommaires menées par HSC sur un échantillon des binaires utilisés lors de l'attaque nommé APT1 par la société Mandiant.  
> Context & Dates Présentation interne.
3 avril 2013  
> Author Jérémy Rubert (Jeremy.Rubert@hsc.fr)  
> Type  
> Abstract &
Table of content
Présentation des investigations sommaires menées par HSC sur un échantillon des binaires utilisés lors de l'attaque nommé APT1 par la société Mandiant.

Table des matières
  • 1. Contexte
  • 2. Analyse globale des échantillons
  • 2.1. Découverte du type des fichiers
  • 2.2. Éliminer les doublons
  • 2.3. Identification des fonctionnalités et de la provenance
  • 2.4. Utilisation des indicateurs de compromission (IOCs)
  • 2.5. Connexions sortantes
  • 3. Analyse du fichier VirusShare_e480c8839e819eaa9b19d53acfa95052
  • 3.1. Dépacker le binaire
  • 3.2. Décodage des chaînes de caractères
  • 3.3. Persistance de l'exécutable
  • 3.4. Connexion à internet
  • 3.5. Récupération des commandes
  • 3.6. Extraction des commandes
  • 3.7. Décoder la commande
  • 3.8. Type de commandes
  • 3.9. La commande 's'
  • 3.10. La commande 'd'
  • 3.11. La commande 'z'
  • 3.12. Commande par défaut
  • 3.13. Accès distant à la machine
  • 3.13.1. Création des tubes et exécution du shell
  • 3.13.2. Lecture du résultat des commandes et envoi à l'attaquant
  • 3.13.3. Lecture des commandes et envoi au shell
  • 3.14. Résumé du fonctionnement
  • 4. Conclusion
  • 5. Annexes
  • 5.1. Commande file
  • 5.2. PEiD
  • 5.3. ssdeep
  • 5.4. Grep des URLs
  • 5.5. decode_strings.c
 
> Related documents
> Copyright © 2013, Hervé Schauer Consultants, all rights reserved.

 

Last modified on 3 April 2013 at 17:47:51 CET - webmaster@hsc.fr
Information on this server - © 1989-2013 Hervé Schauer Consultants