Émulation du bootloader de NotPetya avec Miasm

 

NotPetya est un célèbre malware issu de la famille Petya, apparu en juin 2017. La partie s’exécutant depuis le MBR a souvent été étudiée en statique ou en dynamique grâce au débogueur Bochs pour IDA. Une autre approche d’analyse est-elle possible ? Nous proposons ici d’émuler pas à pas le bootloader de NotPetya en utilisant Miasm.

Au sommaire de l’article

1 Rappel

1.1 Travaux associés

1.2 NotPetya

1.3 Miasm

1.4 Pourquoi émuler NotPetya avec Miasm ? (dit autrement, pourquoi se faire autant de mal ?)

2 Fonctionnement d’un bootloader PC/x86

2.1 Généralités

2.2 Dans le cas de NotPetya

3 Émulation avec Miasm

3.1 Installation

3.2 Implémentation

3.3 Création d’un disque de test

3.4 Abstraction système

3.5 Initialisation de la VM Miasm

3.6 Gestion des interruptions dans Miasm

3.7 Support des différentes interruptions

3.7.1 INT 13h

3.7.2 INT 19h

3.8 Et pour quelques hacks de plus…

3.9 Yippie kay yay motherfucker !

3.10 Récupération de secrets en mémoire

3.11 Modification du bootloader pour déchiffrer la MFT

3.12 Étude du keystream lors du chiffrement

Conclusion

Références

Remerciements

Adrien GUINET

 > Lire l’intégralité de cet article sur notre plateforme de lecture en ligne Connect  

Retrouvez cet article (et bien d’autres) dans MISC n°98, disponible sur la boutique et sur Connect !