Analyse dynamique du comportement des codes malicieux avec Zero Wine

Par Xavier Poli, secuobs.com
Le 14/01/2009

---

Résumé : Zero Wine est un projet Open Source qui permet de réaliser des analyses dynamiques sur le comportement des codes malicieux soumis. Il présente une interface graphique Web et se trouve disponible sous la forme d'une image système virtuelle de type Debian pour QEMU. - Lire l'article



Le projet Zero Wine, placé sous la licence GPL v2 ( lien ), vise à proposer une solution dynamique et Open Source pour l’analyse comportementale des programmes malicieux au format PE ( Portable Executable File Format - lien ). Il se présente sous la forme d’une image système virtuelle, délivrée au format QEMU ( lien ), qui est équivalente à un système d’exploitation de type GNU/Linux et plus particulièrement à une distribution Debian ( lien ).

A savoir qu’un script de lancement pour cette image est par ailleurs fournie avec l’archive qu'il est nécessaire de télécharger ( lien ) pour installer et utiliser Zero Wine. Ce projet offre un serveur web, en Python ( lien ), dont les pages délivrées feront office d’interface graphique afin que les utilisateurs puissent soumettre les souches choisies et visualiser les rapports. Cette soumission est réalisée via un script CGI ( lien ) qui va permettre de sauvegarder ces programmes dans un répertoire spécifique.

Ils seront ensuite exécutés par un script Shell ( lien ) pour analyse. A noter qu’il n’est pour l’instant pas possible de réaliser l’analyse de plusieurs souches malicieuses de façon parallèle. L’exécution est effectuée dans un cadre restreint au sein d’un environnement isolé ( Sandbox - lien ) basé sur la solution WINE ( lien ). Cette exécution sera à l’origine de la génération d’un rapport sur les différents événements rencontrés lors de l’analyse détaillée de l’exécutable.

Les différentes informations présentées dans ce rapport sont issues de la collecte des appels effectués, par le programme malicieux soumis, vers l’ensemble des interfaces de programmation ( API - lien ) concernées. Les valeurs relatives à ces appels sont également recensées, la collecte de toutes ces données étant réalisée par l’intermédiaire des variables d’environnement WINEDEBUG ( lien ).

Même dans un cadre isolé comme celui proposé, l’exécution de code malveillant représente un risque de propagation, il est donc conseillé de prendre la totalité des précautions nécessaires avant d’effectuer ce genre d’opérations sensibles. Déconnecter la machine utilisée du réseau serait une première piste alors que charger l’image système en question depuis une machine ne présentant pas de données sensibles, stockées sur le système d’exploitation sous-jacent, en est une seconde.

La perte, ou la diffusion, de ces données pourrait s’avérer un facteur désagréable, il serait ainsi idéal que cette machine puisse être fraichement installée, avant la première analyse, puis réinstallée après la dernière avant d’être à nouveau connectée sur un quelconque réseau. Ces précautions pourraient éviter d’éventuelles mésaventures, l’apport de ces souches par clés USB ( lien ) est également un point sensible à prendre en considération.

Les procédures relatives à l’installation et à l’utilisation de Zero Wine sont disponibles sur le site officiel ( lien ), un exemple d’analyse du vers MyTob ( lien ) est disponible ainsi que différents cas pouvant occasionner la génération de résultats peu probants au niveau du rapport final. A savoir que ces rapports se présentent initialement sous la forme d’une page avec quatre liens, le plus intéressant étant celui qui est relatif aux informations de signature du programme analysé.

Source : Full Disclosure ( voir Secumail - lien )