Rapport d’Analyse – BipBop

Partie 1
1. Hash de l’élément analyse

2. Resume de l’analyse
L’analyse du fichier mémoire bipbop [Link] a permis d’identifier une activité malveillante liée à un
malware de type backdoor, connu sous le nom de R2D2. Ce logiciel malveillant exploite des vulnérabilités
du système afin de s’installer discrètement et de rester actif sans éveiller les soupçons. L’intégrité du fichier
analysé a été confirmée grâce à son empreinte MD5 : cb47af710c7ab59e43d1396aa7ce950c.
Au cours de l’enquête, plusieurs éléments inquiétants ont été découverts. Des techniques d’injection de
code ont été observées dans des processus système critiques tels que [Link] et [Link], ce qui
démontre que le malware tentait de dissimuler ses opérations en s’insérant dans des programmes légitimes.
Un terminal [Link] a été lancé depuis le processus [Link], ce qui est inhabituel et peut indiquer une
exécution automatisée de commandes. Dans la mémoire, nous avons retrouvé des traces explicites de la
commande sc query malware, ce qui révèle la présence d’un service malveillant actif sur le système.
Ce service était lié à un driver noyau non légitime, nommé [Link], qui a été extrait de la mémoire
pour analyse. Ce driver, tout comme la DLL [Link] également identifiée durant l’investigation, s’est
révélé être malveillant : ce dernier a été détecté par 48 antivirus sur 71 lors d’un scan sur VirusTotal, ce qui
confirme sa dangerosité.
De plus, l’image mémoire contenait plusieurs adresses IP, exécutables et modules suspects, ce qui prouve
que la machine était compromise et activement exploitée.
En réponse à cette situation, il est recommandé de procéder à la suppression immédiate de tous les fichiers
malveillants découverts. Il est impératif d’isoler la machine du réseau afin d’empêcher toute communication
extérieure avec des serveurs de contrôle. Une réinstallation complète du système est fortement conseillée,
car l’infection touche probablement des composants critiques du noyau. Il convient également de mettre à
jour tous les logiciels installés et d’appliquer les derniers correctifs de sécurité pour combler les failles
exploitées par le malware.
Tous les mots de passe utilisés sur la machine devraient être changés, en particulier ceux ayant des
privilèges d’administration. Une surveillance du système et du réseau doit être mise en place, à l’aide de
solutions antivirus ou EDR, pour détecter tout comportement suspect. Enfin, il est essentiel de sensibiliser
les utilisateurs aux bonnes pratiques de cybersécurité, notamment en ce qui concerne l’ouverture de pièces
jointes, le téléchargement de fichiers, ou l’exécution de programmes inconnus.
 3. Détail de l'investigation
Après la mise à disposition du fichier, on utilise le plugin imageinfo, pour récupérer les informations sur
les profils

On faire ensuite un pstree pour consulter les precessus en cours

On peut remarquer le processus [Link] enfant d’explorer, c’est anormale

On pourrait faire un filescan pour scanner les fichiers dans la mémoire.

Rien à utiliser dans notre analyse.

Scannons maintenant avec le plugin sockets pour voir quels sont les processus qui écoutent sur le réseau

Remarque : PID 1956 avec TCP sur [Link]:1026 : Le processus [Link] ouvre un port TCP en
écoute sur toutes les interfaces, ce qui est inhabituel.
Récupérons maintenant la liste des dernières commandes exécuter

Deux commandes ont été exécutées depuis le terminal [Link] :

sc query malwar
sc query malware

Ces commandes interrogent le Service Control Manager pour savoir si un service nommé malware (ou
partiellement nommé) est installé.
Cela confirme que le terminal a été utilisé pour interagir avec des services suspects, notamment un
potentiel service malveillant nommé malware.

Maintenant que nous avoir un nom, nous essayons de voir à quoi est rattacher ce nom.

Par de doute, nous sommes sur la bonne voie

Essayons maintenant avec le plugin driverscan :

Ce résultat confirme la présence d’un driver injecté ou chargé de manière douteuse dans le noyau
Windows.

Alors pour confirmer nos doutes, on utilisera le plugin moddump

On utilise strings pour lire le contenu avec strings [Link] | less

On peut remarquer un dll falsifié [Link], Variante de [Link], bibliothèque MFC de Microsoft. Le
suffixe ul peut indiquer une DLL falsifiée ou injectée, potentiellement non signée.
Pour confirmer cette hypothese, verifions notre explorer inabituelle à utiliser [Link]

Recuperons maintenant le dll

[Link] nous permet de vérifier

Nous avons notre malware qui est un backdoor R2D2

Partie 2 – Element
Profile volatility applicable WinXPSP2x86

Hostname de la machine generallee

Version exacte du système d'exploitation (incluant le numéro de build)

Système d’exploitation : Windows XP
Service Pack : SP2
Numéro de build : 5.1.2600.2180
Chemin du fichier analysé : C:\WINDOWS\system32\[Link]
Description : Windows Server DLL
Version interne : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Éditeur : Microsoft Corporation

L'ensemble des informations concernant le processeur (architecture, famille, modèle,

...)
Architecture : x86 (32 bits)
Mode mémoire : PAE (Physical Address Extension) activé
Famille : 6
Nombre de processeurs logiques : 1
Type de dump : Windows XP SP2 (confirmé par Service Pack : 2)
Profil Volatility utilisé : WinXPSP2x86
Date et heure du dump mémoire :
UTC : 2011-10-10 [Link]
Local (UTC-4) : 2011-10-10 [Link]
Nombre de processus instanciés
L’analyse du dump mémoire avec le plugin pslist de Volatility révèle que 23 processus étaient
instanciés et actifs au moment de la capture de l’image mémoire car il faut retirer la ligne d'en-tête du
tableau pslist.
Historique des commandes

L’historique des commandes révèle l’exécution de deux requêtes vers le gestionnaire de services via la
commande sc query. Ces commandes ciblent explicitement un service nommé malware, ce qui constitue
un fort indicateur d’activités malveillantes. Cela suggère que l’attaquant ou un utilisateur a tenté de
vérifier la présence ou l’état d’un service potentiellement malveillant.
Nombre de sockets utilisés par [Link]
Le processus [Link] (PID 688) utilise 3 sockets UDP
Processus (avec leur PID) présentant des signes d'injection de code
 PID Processus Détail
608 [Link] Code injecté en 0x7f6f0000 avec shellcode suspect
Multiples injections sur différentes adresses mémoire (0x64f0000,
632 [Link] 0x4e5d0000, 0x23df0000, 0x2b300000, 0x4bd80000, 0x51490000,
0x66450000, 0x71b00000, 0x72620000)

Ces deux processus sont critiques dans Windows.

Le fait qu’ils contiennent des pages en PAGE_EXECUTE_READWRITE avec du code non aligné ou de
type shellcode indique très fortement une injection de code malveillant.
[Link] est souvent ciblé pour contourner certaines protections car il s’exécute avec des privilèges
élevés.
Nombre de modules chargés dans le noyau : 120
En considérant rigoureusement les lignés commençant par 0x on retrouve 120 modules chargés dans le
noyau
Informations concernant le processus portant le PID 1444

Le processus identifié par le PID 1444 correspond à [Link], un service légitime lié aux
VMware Tools utilisés dans les environnements virtualisés. Ce processus est un enfant du processus
[Link] (PID 676), a démarré à 2011-10-10 [Link] UTC
- Chemin absolu vers l'exécutable : C:\Program Files\VMware\VMware Tools\[Link]

Cette information peut être obtenue via le plugin dlllist ou cmdline, en croisant les données du PID 1444
et de la hiérarchie des processus (pstree). Elle confirme que le fichier exécutable est bien situé dans un
répertoire attendu pour une installation standard de VMware Tools.
- Version exacte du service VMWare
Pour une analyse plus pousser, nous avons dumper le processus en utilisant procdump :

Une fois l’exécutable extrait, nous avons utilisé exiftool pour en récupérer les métadonnées complètes

Cela nous a permis d’obtenir les informations suivantes :

Nom interne : VMwareService
Nom du produit : VMware Tools
Description : VMware Tools Service
Version exacte : 7.8.7 build-246459
Date de compilation : [Link] [Link]
Liste des adresses IP uniques que l'on peut trouver dans la RAM du processus
[Link]
[Link]

Nous avons utilisé le plugin memdump pour extraire la data mémoire du processus pu nous avons ensuite
utilisé la commande strings sur ce dump pour extraire toutes les chaînes lisibles
À partir du fichier strings_1444.txt, une recherche de motifs IPv4 a été réalisée

- Au sein de la mémoire du processus, trouvez la suite de cette phrase : "Members of

this role are trusted to" faithfully transmit messages for queued components on behalf of other users.