Source : Trustwave (SpiderLabs Blog). Dans cette publication, des chercheurs présentent une méthodologie complète pour analyser le malware SnakeKeylogger et élaborer des signatures de détection efficaces. Ils montrent comment le code malveillant contourne des règles existantes en encodant en Base64 des données exfiltrées via SMTP, et proposent un flux de travail pratique pour collecter des IOC et affiner continuellement les signatures.
🔬 Comportement réseau et évasion : l’analyse met en évidence des connexions vers des IP malveillantes sur les ports 80, 443 et 587, et l’usage de l’encodage Base64 dans le trafic SMTP afin de contourner les règles de détection.
🛡️ Détection multi-couches avec Suricata : les chercheurs conçoivent une règle Suricata qui cible (1) des motifs dans l’en-tête Subject (dont « Pc Name: » et « VIP Recovery »), (2) des ancres liées au Content-Transfer-Encoding: base64, et (3) un décodage sélectif de 68 octets pour repérer des mots-clés comme « Cookies » dans la charge utile. Selon l’étude, cette approche permet de détecter avec succès la technique d’évasion observée.
🧰 Outils d’analyse et de mise au point : FlareVM, ProcMon, ProcDot, Wireshark et Suricata ont été utilisés pour conduire l’analyse du malware et développer les signatures.
IOC et TTPs
- IOC
- IPs : 158.101.44.242, 104.21.48.1
- Ports : 80, 443, 587
- Motifs SMTP ciblés : Subject contenant « Pc Name: », « VIP Recovery »; Content-Transfer-Encoding: base64; séquences Base64 décodables menant à « Cookies »
- TTPs
- Exfiltration de données via SMTP
- Évasion par encodage Base64 du contenu exfiltré
Il s’agit d’une publication de recherche présentant une méthodologie d’analyse et le développement de signatures Suricata ciblées pour détecter l’évasion de SnakeKeylogger.
🔗 Source originale : https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/how-researchers-collect-indicators-of-compromise/