Outils pour utilisateurs
Volatility Partie 3 : Détection et extraction d'un malware
Lorsqu'une machine est comprise il est intéressant de faire un dump mémoire pour obtenir plus d'informations sur les causes de la compromission.
Dans cette partie nous expliquerons comment détecter un malware simple ( payload meterpreter généré pour l'occasion).
Etape 1: Repérer les processus suspect
Pour cela il faut utiliser les commandes pslist et pstree (Pour leur utilisation voir la partie 1)
Ici nous remarquons un processus shell.exe qui semble suspicieux.
Etape 2: Repérer les connexions réseaux suspect
commande netscan
Nous retrouvons ce même processus qui communique avec une autre machine sur le port 8080.
Etape 3 : Recherche d'éléments malicieux
commande malfind
Le processus shell.exe est effectivement malicieux.
Etape 4 : Recherche des DLLS implantés sur le système par le malware
commande dlllist avec le pid du processus , dans notre cas c'est 2748
Etape 5 : Dump du malware pour le reverse
Avant de dumper le malware pour le reverse il faut trouver l'offset de son emplacement mémoire .
commande filescan
Une fois que nous avons son offset : 0x00000000047f2880
Nous allons le dumper avec la commande :
./vol.py dumpfiles -Q monoffset --dump-dir=dossier_de_reception_du_fichier
Vous voilà dès à présent avec le malware qui à compromis la machine , vous pouvez le reverse où l'envoyer sur des plateformes comme virustotal ou des sandboxes en ligne.
Outils de la page
