Une sandbox perso pour analyser des malwares : guide DIY pour débutants -

Temps de lecture ( Niveau Geek :') ) : 2 minutes

L’analyse de malwares nécessite un environnement maîtrisé, isolé, et reproductible. Dans ce guide, nous présentons une méthode simple pour créer une sandbox personnelle, permettant d’observer le comportement d’un logiciel malveillant sans exposer son système principal à un risque.

Ce guide s’adresse aux techniciens, étudiants en cybersécurité, ou autodidactes souhaitant mettre en place un environnement d’analyse fonctionnel.

Sommaire de l'article

Objectifs

Comprendre le fonctionnement d’un malware.
Identifier les fichiers, processus et clés de registre affectés.
Obtenir des éléments sur le réseau de commande et de contrôle utilisé.
Évaluer la dangerosité d’un binaire suspect sans infecter la machine hôte.

Prérequis techniques

Matériel minimum conseillé

Ordinateur avec au moins 8 Go de RAM (16 Go recommandé).
20 à 50 Go d’espace disque libre.
Processeur avec la virtualisation activée (VT-x ou AMD-V).

Logiciels nécessaires

VirtualBox (ou VMware Workstation si licence disponible).
Image ISO de Windows 10 ou Windows 7.
Outils Sysinternals : Process Explorer, ProcMon, Autoruns.
Fakenet-NG ou Wireshark.
Regshot pour le suivi des modifications du registre.
Optionnel : FLARE VM ou Remnux.

Étapes de mise en place

1. Création de la machine virtuelle

Installer VirtualBox.
Créer une VM Windows avec les caractéristiques suivantes :
- 2 à 4 cœurs de CPU
- 4 Go de RAM minimum
- Disque dur dynamique de 40 Go minimum
Installer Windows en mode hors-ligne (ne pas connecter à Internet).
Désactiver les mises à jour automatiques et Windows Defender.

2. Configuration de l’environnement

Installer les outils Sysinternals.
Installer Regshot.
Installer Wireshark ou Fakenet-NG.
Créer un snapshot de l’état initial (base propre).

3. Isolation de la machine

Désactiver les connexions réseau ou utiliser un mode réseau « interne uniquement ».
Ne jamais connecter cette VM à Internet.
Ne jamais monter de partages entre la machine hôte et la VM après l’infection.

Procédure d’analyse

1. Préparation

Importer l’échantillon dans la VM via un ISO virtuel ou un fichier chiffré transféré en amont.
Lancer les outils d’observation : Process Monitor, Regshot (avant), Fakenet-NG ou équivalent.

2. Exécution contrôlée

Exécuter le fichier malveillant dans la VM.
Surveiller en temps réel :
- Les processus créés.
- Les modifications de fichiers.
- Les requêtes réseau.
Utiliser Regshot pour comparer l’état du registre avant/après.

3. Documentation

Prendre des captures d’écran ou exporter les logs.
Noter les noms de fichiers, chemins, clés de registre ou noms de domaines détectés.

Restauration et hygiène

Une fois l’analyse terminée, restaurer le snapshot initial.
Ne jamais conserver une VM infectée active.
Supprimer toute trace de l’échantillon après analyse.

Conseils supplémentaires

Ne jamais exécuter un malware en dehors d’un environnement de test fermé.
Utiliser un OS invité différent de l’OS hôte pour limiter les vecteurs d’évasion.
Ne pas activer les fonctions de copier-coller entre hôte et VM.
Ne jamais utiliser une VM infectée pour se connecter à Internet.

Pour aller plus loin

FLARE VM : un environnement Windows préconfiguré pour l’analyse de malwares.
Remnux : distribution Linux spécialisée dans la rétro-ingénierie de malwares.
Ghidra : outil de rétro-ingénierie pour analyse de code assembleur.
Capa (de Mandiant) : pour identifier les capacités d’un binaire.

Conclusion

Ce guide permet de mettre en place une sandbox fonctionnelle pour l’analyse manuelle de logiciels malveillants. Cette approche constitue une base pour aller plus loin vers la rétro-ingénierie, la détection comportementale ou la chasse aux menaces.