HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Articles > Présentation des investigations sommaires menées par HSC sur un échantillon des binaires utilisés lors de l'attaque nommé APT1 par la société Mandiant.
Accéder au : Site HSC des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|Présentation des investigations sommaires menées par HSC sur un échantillon des binaires utilisés lors de l'attaque nommé APT1 par la société Mandiant.  
> Accès au contenu HTML Début de l'article
PDF Version PDF [619Ko]  
> Description Présentation des investigations sommaires menées par HSC sur un échantillon des binaires utilisés lors de l'attaque nommé APT1 par la société Mandiant.  
> Contexte & Dates Présentation interne.
3 avril 2013  
> Auteur Jérémy Rubert (Jeremy.Rubert@hsc.fr)  
> Langue et Nature  
> Résumé &
Table des matières
Présentation des investigations sommaires menées par HSC sur un échantillon des binaires utilisés lors de l'attaque nommé APT1 par la société Mandiant.

Table des matières
  • 1. Contexte
  • 2. Analyse globale des échantillons
  • 2.1. Découverte du type des fichiers
  • 2.2. Éliminer les doublons
  • 2.3. Identification des fonctionnalités et de la provenance
  • 2.4. Utilisation des indicateurs de compromission (IOCs)
  • 2.5. Connexions sortantes
  • 3. Analyse du fichier VirusShare_e480c8839e819eaa9b19d53acfa95052
  • 3.1. Dépacker le binaire
  • 3.2. Décodage des chaînes de caractères
  • 3.3. Persistance de l'exécutable
  • 3.4. Connexion à internet
  • 3.5. Récupération des commandes
  • 3.6. Extraction des commandes
  • 3.7. Décoder la commande
  • 3.8. Type de commandes
  • 3.9. La commande 's'
  • 3.10. La commande 'd'
  • 3.11. La commande 'z'
  • 3.12. Commande par défaut
  • 3.13. Accès distant à la machine
  • 3.13.1. Création des tubes et exécution du shell
  • 3.13.2. Lecture du résultat des commandes et envoi à l'attaquant
  • 3.13.3. Lecture des commandes et envoi au shell
  • 3.14. Résumé du fonctionnement
  • 4. Conclusion
  • 5. Annexes
  • 5.1. Commande file
  • 5.2. PEiD
  • 5.3. ssdeep
  • 5.4. Grep des URLs
  • 5.5. decode_strings.c
 
> Documents liés
> Droits d'auteur © 2013, Hervé Schauer Consultants, tous droits réservés.

 

Dernière modification le 3 avril 2013 à 17:47:51 CET - webmaster@hsc.fr
Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants