Sandbox d'analyse de malware pour Windows 7 avec un client TCP en mode noyau

Sandbox d'analyse de malware pour Windows 7 basé sur des filter drivers et des registry callbacks. Aucune modification de table système. Il est ainsi possible de le faire pour Windows 7 64 bits (mais non testé).

Pour assurer l'intégrité des informations récoltées, un client TCP est implémenté en mode noyau et qui envoie directement les logs sur un serveur. Nous avons deux parties : la première concerne le système de fichiers et la seconde concerne le registre.

Le serveur est fait en python. Il écoute sur deux sockets (file system et registry) puis stocke dans une base de données MySql les informations récoltées sans aucun traitement.

Dans le dossier Server, plusieurs scripts permettent de traiter les résultats depuis les informations de la base de données. Ils permettent de décrire, dans le temps, l'évolution du binaire étudié. Ils offrent aussi la possibilité de transformer les résultats en JSON pour être ensuite intégré à d3.js. La partie visualisation est disponible dans le dossier visu.

Des exemples d'analyses sont disponibles dans le dossier Server. Par exemple, nous avons des rogues mais aussi un ZeroAccess. On peut ainsi voir que l'installeur du ZeroAccess va utiliser un installeur légitime pour infecter le système.

Ces travaux ont été faits et développés dans le chapitre 5 de la thèse http://www.theses.fr/2014ORLE2017