Comment tester une FortiSandbox avec un fichier malicieux ?

Aurelien_Pinon · ‎08-21-2018

MessageImages_TinyMce_2321fd31-206f-4593-b314-3ff14580b2fa.jpg

Vous souhaitez tester la FortiSandbox mais vous ne savez pas comment obtenir un fichier qui sera détecté comme malicieux ? Cet article est là pour vous donner les outils nécessaires.

Nous avons un serveur web accessible publiquement qui permet de télécharger un sample qui sera systématiquement envoyé en émulation sur la FortiSandbox avec un verdict Suspicious - High Risk.

Pour récupérer un sample, l'URL est la suivante : http://192.241.194.166/downloader/string

Vous pouvez alors faire un upload manuellement sur la FortiSandbox pour vérifier le bon fonctionnement de celle-ci.

MessageImages_TinyMce_da49d884-65f3-401a-a68a-7f4cce6b571f.jpg

Le fichier est bien détecté comme Suspicious - High Risk avec un rating effectué par le VM Engine donc après émulation.

MessageImages_TinyMce_d7616dc3-6742-449a-948f-5874190c4d44.jpg

En changeant la string à chaque requête vous obtiendrez un sample avec un hash différent qui sera par conséquent de nouveau analysé par la FortiSandbox.

Faire le test avec un FortiGate

Il suffit de se connecter à l’adresse précédente au travers d'un FortiGate avec un profil Antivirus incluant la fonction FortiSandbox pour télécharger un fichier malicieux qui sera envoyé au FSA.

MessageImages_TinyMce_51745ee3-5118-479f-b583-698ff1ee4f04.jpg

Si vous utilisez la même chaine de caractère vous recevrez le même fichier. Ce qui vous permettra de valider par exemple que le FortiGate a correctement récupérer le malware package généré par la FortiSandbox. Attention toutefois à attendre quelque minute que la signature soit générée.

MessageImages_TinyMce_17445ecb-22bd-4fa2-a8ab-bd91d7550c78.jpg

Si vous souhaitez automatiser tout cela depuis une machine linux, ce script vous permettra de générer autant sample que vous souhaitez :

#Trigger FSA Malware Tool
echo "Trigger FSA..."
randomstring=$(cat /dev/urandon | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -n 1)
wget -T 2 -t 1 http://192.241.194.166/downloader/$randomstring

Vous pouvez également télécharger le script ici : FSA-Trigger-Tool

N'oubliez pas de donner les droits d’exécution au script.

Faire le test avec un FortiMail

Pour effectuer le test depuis un Fortimail, je vous conseil d'utiliser swaks qui est un outil super pratique pour forger des emails.

Tout tiens en une ligne :

wget http://192.241.194.166/downloader/'date +%X-' -O - | swaks -f fsa@gmail.com -t user@lab.com --ehlo gmail.com --header "Subject: Test FSA" --body 'Test FSA' --attach -

Comment tester une FortiSandbox avec un fichier malicieux ?

Faire le test avec un FortiGate

Faire le test avec un FortiMail

FortiEDR's software and content update release process

FortiCloud 3.1.2 Release - Great update for MSP services

Announcing FortiOS 5.4: The World’s Most Advanced Cybersecurity Operating System