Détection de malware avec Volatility – Part 1

By | February 7, 2019

Bonjour à tous,

Aujourd’hui, nous verrons comment détecter des traces de logiciels malveillants dans les images mémoires à l’aide de l’outil d’analyse forensic Volatility.
Si vous voulez tout savoir sur Volatility, je vous invite à voir les articles suivants:

  • Introduction à Volatility
  • Comment extraire des informations dans une image mémoire ?

  • Avant d’entamer notre analyse, commençons par lister tous les processus en cours à l’acquisition de notre image mémoire à l’aide de pslist et pstree.

    mdestroy@Xtrem:~/Documents/VulVMs/memtest$ volatility --profile=Win7SP1x86_23418 pslist -f memory.dmp
    
    Offset(V)  Name                    PID   PPID   Thds     Hnds   Sess  Wow64 Start                          Exit                          
    ---------- -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
    0x87978b78 System                    4      0    103     3257 ------      0 2013-01-12 16:38:09 UTC+0000                                 
    0x88c3ed40 smss.exe                308      4      2       29 ------      0 2013-01-12 16:38:09 UTC+0000                                 
    0x8929fd40 csrss.exe               404    396      9      469      0      0 2013-01-12 16:38:14 UTC+0000                                 
    0x892ac2b8 wininit.exe             456    396      3       77      0      0 2013-01-12 16:38:14 UTC+0000                                 
    0x88d03a00 csrss.exe               468    448     10      471      1      0 2013-01-12 16:38:14 UTC+0000                                 
    0x892ced40 winlogon.exe            500    448      3      111      1      0 2013-01-12 16:38:14 UTC+0000                                 
    0x896294c0 services.exe            560    456      6      205      0      0 2013-01-12 16:38:16 UTC+0000                                 
    0x896427b8 lsass.exe               576    456      6      566      0      0 2013-01-12 16:38:16 UTC+0000                                 
    0x8962f7e8 lsm.exe                 584    456     10      142      0      0 2013-01-12 16:38:16 UTC+0000                                 
    0x8962f030 svchost.exe             692    560     10      353      0      0 2013-01-12 16:38:21 UTC+0000                                 
    0x897b5c20 svchost.exe             764    560      7      263      0      0 2013-01-12 16:38:23 UTC+0000                                 
    0x89805420 svchost.exe             832    560     19      435      0      0 2013-01-12 16:38:23 UTC+0000                                 
    0x89852918 svchost.exe             904    560     17      409      0      0 2013-01-12 16:38:24 UTC+0000                                 
    0x8986b030 svchost.exe             928    560     26      869      0      0 2013-01-12 16:38:24 UTC+0000                                 
    0x898911a8 svchost.exe            1084    560     10      257      0      0 2013-01-12 16:38:26 UTC+0000                                 
    0x898b2790 svchost.exe            1172    560     15      475      0      0 2013-01-12 16:38:27 UTC+0000                                 
    0x898a7868 AvastSvc.exe           1220    560     66     1180      0      0 2013-01-12 16:38:28 UTC+0000                                 
    0x8a0f9c40 spoolsv.exe            1712    560     14      338      0      0 2013-01-12 16:38:58 UTC+0000                                 
    0x8a102748 svchost.exe            1748    560     18      310      0      0 2013-01-12 16:38:58 UTC+0000                                 
    0x88cded40 sppsvc.exe             1872    560      4      143      0      0 2013-01-12 16:39:02 UTC+0000                                 
    0x8a1d84e0 vmtoolsd.exe           1968    560      6      220      0      0 2013-01-12 16:39:14 UTC+0000                                 
    0x9541c7e0 wlms.exe                336    560      4       45      0      0 2013-01-12 16:39:21 UTC+0000                                 
    0x8a1f5030 VMUpgradeHelpe          448    560      4       89      0      0 2013-01-12 16:39:21 UTC+0000                                 
    0x9542a030 TPAutoConnSvc.         1612    560      9      135      0      0 2013-01-12 16:39:23 UTC+0000                                 
    0x87ac0620 taskhost.exe           2352    560      8      149      1      0 2013-01-12 16:40:24 UTC+0000                                 
    0x87ad44d0 dwm.exe                2496    904      5       77      1      0 2013-01-12 16:40:25 UTC+0000                                 
    0x87ac6030 explorer.exe           2548   2484     24      766      1      0 2013-01-12 16:40:27 UTC+0000                                 
    0x87ae2880 TPAutoConnect.         2568   1612      5      146      1      0 2013-01-12 16:40:28 UTC+0000                                 
    0x87a9c288 conhost.exe            2600    468      1       35      1      0 2013-01-12 16:40:28 UTC+0000                                 
    0x87b82438 VMwareTray.exe         2660   2548      5       80      1      0 2013-01-12 16:40:29 UTC+0000                                 
    0x87aa9220 VMwareUser.exe         2676   2548      8      190      1      0 2013-01-12 16:40:30 UTC+0000                                 
    0x87b784b0 AvastUI.exe            2720   2548     14      220      1      0 2013-01-12 16:40:31 UTC+0000                                 
    0x898fe8c0 StikyNot.exe           2744   2548      8      135      1      0 2013-01-12 16:40:32 UTC+0000                                 
    0x87b6b030 iexplore.exe           2772   2548      2       74      1      0 2013-01-12 16:40:34 UTC+0000                                 
    0x898fbb18 SearchIndexer.         2900    560     13      636      0      0 2013-01-12 16:40:38 UTC+0000                                 
    0x87bd35b8 wmpnetwk.exe           3176    560      9      240      0      0 2013-01-12 16:40:48 UTC+0000                                 
    0x89f3d2c0 svchost.exe            3352    560      9      141      0      0 2013-01-12 16:40:58 UTC+0000                                 
    0x87c6a2a0 swriter.exe            3452   2548      1       19      1      0 2013-01-12 16:41:01 UTC+0000                                 
    0x87ba4030 soffice.exe            3512   3452      1       28      1      0 2013-01-12 16:41:03 UTC+0000                                 
    0x95483d18 soffice.bin            3556   3544      0 --------      1      0 2013-01-12 16:41:05 UTC+0000   2013-01-12 16:41:39 UTC+0000  
    0x87b8ca58 soffice.bin            3564   3512     12      400      1      0 2013-01-12 16:41:05 UTC+0000                                 
    0x89f1d3e8 svchost.exe            3624    560     14      348      0      0 2013-01-12 16:41:22 UTC+0000                                 
    0x95495c18 taskmgr.exe            1232   2548      6      116      1      0 2013-01-12 16:42:29 UTC+0000                                 
    0x87bf7030 cmd.exe                3152   2548      1       23      1      0 2013-01-12 16:44:50 UTC+0000                                 
    0x87c595b0 conhost.exe            3228    468      2       54      1      0 2013-01-12 16:44:50 UTC+0000                                 
    0x89898030 cmd.exe                1616   2772      2      101      1      0 2013-01-12 16:55:49 UTC+0000                                 
    0x954826b0 conhost.exe            2168    468      2       49      1      0 2013-01-12 16:55:50 UTC+0000                                 
    0x9549f678 iexplore.exe           1136   2548     18      454      1      0 2013-01-12 16:57:44 UTC+0000                                 
    0x87d4d338 iexplore.exe           3044   1136     37      937      1      0 2013-01-12 16:57:46 UTC+0000                                 
    0x87c90d40 audiodg.exe            1720    832      5      117      0      0 2013-01-12 16:58:11 UTC+0000                                 
    0x87cbfd40 winpmem-1.3.1.         3144   3152      1       23      1      0 2013-01-12 16:59:17 UTC+0000                                 
    
    
    mdestroy@Xtrem:~/Documents/VulVMs/memtest$ volatility --profile=Win7SP1x86_23418 pstree -f memory.dmp
    
    Name                                                  Pid   PPid   Thds   Hnds Time
    -------------------------------------------------- ------ ------ ------ ------ ----
     0x892ac2b8:wininit.exe                               456    396      3     77 2013-01-12 16:38:14 UTC+0000
    . 0x896294c0:services.exe                             560    456      6    205 2013-01-12 16:38:16 UTC+0000
    .. 0x89805420:svchost.exe                             832    560     19    435 2013-01-12 16:38:23 UTC+0000
    ... 0x87c90d40:audiodg.exe                           1720    832      5    117 2013-01-12 16:58:11 UTC+0000
    .. 0x89852918:svchost.exe                             904    560     17    409 2013-01-12 16:38:24 UTC+0000
    ... 0x87ad44d0:dwm.exe                               2496    904      5     77 2013-01-12 16:40:25 UTC+0000
    .. 0x898b2790:svchost.exe                            1172    560     15    475 2013-01-12 16:38:27 UTC+0000
    .. 0x89f3d2c0:svchost.exe                            3352    560      9    141 2013-01-12 16:40:58 UTC+0000
    .. 0x898fbb18:SearchIndexer.                         2900    560     13    636 2013-01-12 16:40:38 UTC+0000
    .. 0x8986b030:svchost.exe                             928    560     26    869 2013-01-12 16:38:24 UTC+0000
    .. 0x8a1d84e0:vmtoolsd.exe                           1968    560      6    220 2013-01-12 16:39:14 UTC+0000
    .. 0x8962f030:svchost.exe                             692    560     10    353 2013-01-12 16:38:21 UTC+0000
    .. 0x898911a8:svchost.exe                            1084    560     10    257 2013-01-12 16:38:26 UTC+0000
    .. 0x898a7868:AvastSvc.exe                           1220    560     66   1180 2013-01-12 16:38:28 UTC+0000
    .. 0x89f1d3e8:svchost.exe                            3624    560     14    348 2013-01-12 16:41:22 UTC+0000
    .. 0x9542a030:TPAutoConnSvc.                         1612    560      9    135 2013-01-12 16:39:23 UTC+0000
    ... 0x87ae2880:TPAutoConnect.                        2568   1612      5    146 2013-01-12 16:40:28 UTC+0000
    .. 0x88cded40:sppsvc.exe                             1872    560      4    143 2013-01-12 16:39:02 UTC+0000
    .. 0x8a102748:svchost.exe                            1748    560     18    310 2013-01-12 16:38:58 UTC+0000
    .. 0x8a0f9c40:spoolsv.exe                            1712    560     14    338 2013-01-12 16:38:58 UTC+0000
    .. 0x9541c7e0:wlms.exe                                336    560      4     45 2013-01-12 16:39:21 UTC+0000
    .. 0x8a1f5030:VMUpgradeHelpe                          448    560      4     89 2013-01-12 16:39:21 UTC+0000
    ... 0x892ced40:winlogon.exe                           500    448      3    111 2013-01-12 16:38:14 UTC+0000
    ... 0x88d03a00:csrss.exe                              468    448     10    471 2013-01-12 16:38:14 UTC+0000
    .... 0x87c595b0:conhost.exe                          3228    468      2     54 2013-01-12 16:44:50 UTC+0000
    .... 0x87a9c288:conhost.exe                          2600    468      1     35 2013-01-12 16:40:28 UTC+0000
    .... 0x954826b0:conhost.exe                          2168    468      2     49 2013-01-12 16:55:50 UTC+0000
    .. 0x87bd35b8:wmpnetwk.exe                           3176    560      9    240 2013-01-12 16:40:48 UTC+0000
    .. 0x87ac0620:taskhost.exe                           2352    560      8    149 2013-01-12 16:40:24 UTC+0000
    .. 0x897b5c20:svchost.exe                             764    560      7    263 2013-01-12 16:38:23 UTC+0000
    . 0x8962f7e8:lsm.exe                                  584    456     10    142 2013-01-12 16:38:16 UTC+0000
    . 0x896427b8:lsass.exe                                576    456      6    566 2013-01-12 16:38:16 UTC+0000
     0x8929fd40:csrss.exe                                 404    396      9    469 2013-01-12 16:38:14 UTC+0000
     0x87978b78:System                                      4      0    103   3257 2013-01-12 16:38:09 UTC+0000
    . 0x88c3ed40:smss.exe                                 308      4      2     29 2013-01-12 16:38:09 UTC+0000
     0x87ac6030:explorer.exe                             2548   2484     24    766 2013-01-12 16:40:27 UTC+0000
    . 0x87b6b030:iexplore.exe                            2772   2548      2     74 2013-01-12 16:40:34 UTC+0000
    .. 0x89898030:cmd.exe                                1616   2772      2    101 2013-01-12 16:55:49 UTC+0000
    . 0x95495c18:taskmgr.exe                             1232   2548      6    116 2013-01-12 16:42:29 UTC+0000
    . 0x87bf7030:cmd.exe                                 3152   2548      1     23 2013-01-12 16:44:50 UTC+0000
    .. 0x87cbfd40:winpmem-1.3.1.                         3144   3152      1     23 2013-01-12 16:59:17 UTC+0000
    . 0x898fe8c0:StikyNot.exe                            2744   2548      8    135 2013-01-12 16:40:32 UTC+0000
    . 0x87b784b0:AvastUI.exe                             2720   2548     14    220 2013-01-12 16:40:31 UTC+0000
    . 0x87b82438:VMwareTray.exe                          2660   2548      5     80 2013-01-12 16:40:29 UTC+0000
    . 0x87c6a2a0:swriter.exe                             3452   2548      1     19 2013-01-12 16:41:01 UTC+0000
    .. 0x87ba4030:soffice.exe                            3512   3452      1     28 2013-01-12 16:41:03 UTC+0000
    ... 0x87b8ca58:soffice.bin                           3564   3512     12    400 2013-01-12 16:41:05 UTC+0000
    . 0x9549f678:iexplore.exe                            1136   2548     18    454 2013-01-12 16:57:44 UTC+0000
    .. 0x87d4d338:iexplore.exe                           3044   1136     37    937 2013-01-12 16:57:46 UTC+0000
    . 0x87aa9220:VMwareUser.exe                          2676   2548      8    190 2013-01-12 16:40:30 UTC+0000
     0x95483d18:soffice.bin                              3556   3544      0 ------ 2013-01-12 16:41:05 UTC+0000
    

    Un processus iexplore.exe, probablement exécuté à partir d’une fenêtre de Windows Explorer, attire tout de suite l’attention.


    Ce même processus au pid 2772 est à l’origine de la création d’un processus cmd.exe une quinzaine de minutes plutard …

    Nous utiliserons le plugin psinfo pour savoir un peu plus sur ce processus louche.
    psinfo est un plugin qui permet d’afficher des informations sur les processus (nom du processus, pid, ppid, temps de création, l’adresse de base, le chemin absolu de l’exécutable) et les régions mémoires suspicieuses.
    Ce plugin n’est pas inclus dans Volatility, il faudra donc l’importer.
    Téléchargez psinfo à partir de ce lien, puis sauvegardez-le dans le dossier /usr/share/volatility/plugins/.
    Assurez-vous que le plugin a été bien importé.

    L’exécution de psinfo sur le processus au pid 2772 nous révèle qu’il a été exécuté partir du dossier C:\Users\John Doe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch.

    Un emplacement plutôt curieux pour un fichier exe. En effet, sur Windows, le dossier Quick Launch permet un accès rapide vers des programmes et le Bureau Windows. En gros, ce dossier ne devrait comprendre que des raccourcis !

    A l’aide de procdump, réalisons un dump de ce processus suspicieux en un fichier exe que nous analyserons sur VirusTotal pour avoir la confirmation que nous avons à faire avec un logiciel malveillant.

    Sur VirusTotal, le fichier est signalé comme malicieux par 47/70 antivirus.

    Volatility nous a permis ici de détecter un malware qui utilisait le nom d’un exécutable d’une application légitime de Windows (Internet Explorer). Son emplacement singulier nous a permis de vite comprendre que nous avions à faire avec un logiciel malveillant.

    Cet article est le premier d’une série sur la détection de logiciels malveillants dans les images mémoires à l’aide de Volatility.

    A bientôt pour une nouvelle analyse !

    🙂

    mdestroy

    Leave a Reply

    Your email address will not be published. Required fields are marked *