Discussion :

[Butcher22]

Bonsoir à tous

Je poste dans cette section mais je ne sais pas si c'est la bonne , donc désolé d'avance si je me suis trompé.

Donc je suis entrain de rédiger mon PFE sur le botnet ZEUS ( méthode d'infection/propagation , études des com entre le bot et le panel C&C ... ) , et je me disais que ça serait bien de rajouter un petit programme qui détecterait la présence de ZEUS et qui essaierai de le supprimer !

Je sais que lors de l'infection d'un ordinateur avec une session Administrateur le virus

• ajoute une clé au registre
  

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\winlogon\userinit

• essaye de créer un dossier System\lowsec avec deux fichier local.ds et user.ds

sinon

• ajoute une clé au registre
  

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”userinit”=”UserProfile \ApplicationData\sdra64.exe”

• essaye de créer deux fichier local.ds et user.ds sous UserProfile\Application Data\sdra64.exe

Donc voila , je sais pas comment m'y prendre vu que je n'ai jamais fais une chose pareille , et je ne trouve pas de la bonne doc sur internet !
D'autre part je ne sais pas trop quel langage utiliser , je me débrouille bien en C/C++ , je pense que ça doit être suffisant


Merci d'avance pour votre aide !

[sambia39]

Bonsoir

Bonsoir à tous

Je poste dans cette section mais je ne sais pas si c'est la bonne , donc désolé d'avance si je me suis trompé.

Donc je suis entrain de rédiger mon PFE sur le botnet ZEUS ( méthode d'infection/propagation , études des com entre le bot et le panel C&C ... ) , et je me disais que ça serait bien de rajouter un petit programme qui détecterait la présence de ZEUS et qui essaierai de le supprimer !

Je sais que lors de l'infection d'un ordinateur avec une session Administrateur le virus

• ajoute une clé au registre
  

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\winlogon\userinit

• essaye de créer un dossier System\lowsec avec deux fichier local.ds et user.ds

sinon

• ajoute une clé au registre
  

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”userinit”=”UserProfile \ApplicationData\sdra64.exe”

• essaye de créer deux fichier local.ds et user.ds sous UserProfile\Application Data\sdra64.exe

Donc voila , je sais pas comment m'y prendre vu que je n'ai jamais fais une chose pareille , et je ne trouve pas de la bonne doc sur internet !
D'autre part je ne sais pas trop quel langage utiliser , je me débrouille bien en C/C++ , je pense que ça doit être suffisant


Merci d'avance pour votre aide !

Vous arrivez à une première hypothèse de conclusion (trop simple selon moi) dans laquelle vous nous dites que le botnet, lors de l'infection ou de la primo-infection ,ajoute des clés au registre Windows et sur la base de cette conclusion, vous souhaitez élaborer un outil de détection du botnet et, si possible, qui soit capable de l'éradiquer. Personnellement, la détection, sur le simple fait qu'il y ait présence de fichiers avec une extension spéciale ou par le nom du binaire, ou ajout d’une valeur spéciale dans le registre Windows, ne suffirait pas à certifier ou détecter la présence du botnet a la limite les services peut être ?.

Dans un cas d'école je dirais oui à condition que le professeur (ou votre tuteur) ait conçu la variante de la sorte vous permettant de le détecter ainsi. Mais, en temps normal (de nos jours), c’est bien plus compliqué que ça. Virus, ver informatique, botnet ou rançongiciels utilisent tous, sans exception, des techniques ingénieuses et avancées de furtivité pour se dissimuler et leurrer les différents dispositifs de sécurité. Sans trop aller dans les détails, l'ajout dans le registre d'une nouvelle clé n'est rien d'autre qu’un mécanisme de persistance et de résidence: en clair, cela veut tout simplement dire que Zeus modifie ou ajoute des clés dans la base de registres pour un ou plusieurs de ces services, (mécanisme ou routine) qui lui sont utiles lors du démarrage d’une session par exemple.

Il faut savoir que les botnet embarquent ou empruntent un ensemble de mécanismes ou techniques virales à des fin d’actions offensives ou de planification. Exemple : un mécanisme d'anonymisation (très efficace) qui consiste à rediriger des flux (donc devenir un serveur mandataire dit également proxy) pour relayer et exfiltrer des informations personnel ou sensible (numéro de carte bancaire, document sensible etc) en utilisant des structures en graphe le botnet peut gérer de manière discrète l’ensemble du réseau malicieux et ainsi évité ou limiter les connexions avec le CQC. Il peut également utiliser des techniques de chiffrement de donnée pour chiffrée ce qu'il exflitre comme donnée etc.
Au final, si la création du botnet est complexe, la détection l'est aussi. Si vous modifiez ou supprimez la clé du registre, vous ne faites qu'empêcher un service mais pas le bonnet de sévir (par exemple) , et il y a de fortes chances que ZEUS refasse son apparition.

Donc voila , je sais pas comment m'y prendre vu que je n'ai jamais fais une chose pareille , et je ne trouve pas de la bonne doc sur internet !
D'autre part je ne sais pas trop quel langage utiliser , je me débrouille bien en C/C++ , je pense que ça doit être suffisant

Il est clair que le langage C++ ne suffit pas (loin de là, surtout si vous ne savez pas comment vous y prendre). Il faut également d'autres notions plus techniques et scientifiques sur le sujet.
L’idéal serait de déplomber le bot et l’étudier de façon approfondite avec des outils comme IDA, radar, bokken, Irma, olygdb pour savoir comment il agit concrètement dans un environnement maitrisé, chose que vous n'avez peut-être pas assez approfondi. Faire des investigations poussées demande des connaissances pointues si vous êtes initié en assembleur il vous es possible de concevoir un contrôleur d'intégrité qui dans un premier temps contrôle ou alerte l'utilisateur sur tout ce qui est tentative d'écriture et lecture sur des binaires ou secteur du disque etc. et établir un profil qui à localiser quel est le processus qui à tenter ou réaliser cette action et où est-ce qu'il se situe sur le disque dur (les faux positifs seront de la partie) bref apporté des conclusions après une investigation c'est déjà pas mal

à bientôt