Symposium sur la sécurité des technologies de l'information et des communications

Sandbagility est un framework en Python destiné à fournir une API haut-niveau pour automatiser et instrumenter un système virtuel invité fonctionnant sous Microsoft Windows n’ayant subi aucune modification. En l’occurrence, ce framework s’appuie sur les travaux publiés par Nicolas Couffin au SSTIC 2016. Les travaux en question ont donné lieu à l’implémentation d’un protocole, appelé Fast Debugging Protocol, en modifiant l’hyperviseur de VirtualBox. L’origine du framework Sandbagility débute là où Winbagility se termine. Il offre ainsi une complémentarité et une continuité des travaux précédents, tout en apportant de nouvelles fonctionnalités. Le choix du langage Python pour le développement du framework lui permet d’être modifiable et évolutif à moindre frais. Ainsi, le framework ne se limite pas qu’à l’étude des codes malveillant et peut être étendu à l’analyse de tout composant sous Windows. A travers l’exemple de wannacry, nous tenterons de démontrer la simplicité avec laquelle il est possible de suivre des événements en utilisant le framework.