SNDBOX : l’intelligence artificielle appliquée à l’analyse de fichiers malveillants

Le premier réflexe de beaucoup d’entre nous est de soumettre son fichier à la plateforme Virus Total [1], qui va lancer une analyse du fichier par comparaison de signatures sur plus d’une cinquantaine d’antivirus et afficher les résultats. Des éventuels avis d’autres personnes ayant déjà soumis le même fichier peuvent également être affichés, permettant de se conforter (ou pas) dans l’idée que le fichier soumis est malveillant. Si le fichier est encore inconnu des solutions antivirus, les résultats ne seront pas très pertinents.

Certains iront un peu plus loin en soumettant le fichier à la plateforme Hybrid Analysis [2], qui permet, en plus d’afficher les résultats d’analyses de Virus Total à partir de l’empreinte du fichier,  d’exécuter le fichier sur une machine virtuelle de sandboxing et d’afficher des captures d’écran de l’exécution du fichier soumis sur cette VM. Ce qui peut s’avérer pertinent dans certains cas, mais, connaître concrètement les agissements du fichier suspect reste encore impossible.

Le 5 décembre dernier, lors de la conférence Black Hat Europe [3] qui s’est tenue à Londres, les deux chercheurs Israéliens, le Docteur Ran Rubin, expert en détection de compromissions, avec une spécialisation dans l’application d’algorithmes de « deep learning » et Ariel Koren, spécialiste en reverse engineering de logiciels malveillants, ont présenté SNDBOX [4], leur nouvel outil d’analyse d’échantillons de fichiers malveillants en ligne et ouvert à tous, qui permet d’aller beaucoup plus loin !

En effet si leur outil est en premier lieu destiné à la recherche et aux chercheurs, il permet à tout un chacun de soumettre des fichiers pour analyse et de connaître avec précisions les conséquences de leur exécution dans une interface graphique très simple, ne nécessitant pas d’être un expert en reverse engineering ou un pentester chevronné pour comprendre les dégâts que pourrait causer l’exécution du fichier soumis.
L’analyse prendra beaucoup plus de temps qu’avec la plateforme Virus Total, ou un simple « scan » antivirus lancé sur votre poste. En effet car, le fichier va être exécuté sur machine de « sandboxing », qui ne sera évidement pas détecté comme telle par les malwares les plus sophistiqués et l’outil va produire un rapport complet des agissements du fichier, à partir duquel il va déterminer si le fichier est malveillant ou non.

Il sera donc possible de découvrir très simplement le ou les processus exécutés et l’enchaînement d’actions réalisées lors de l’exécution du fichier, avec des règles permettant de définir éventuellement le type de logiciel malveillant.

Dans cet exemple, le logiciel malveillant modifie le fond d’écran de la machine et ouvre un fichier d’instructions dans le navigateur. L’outil le classe donc logiquement dans la catégorie des rançongiciels, sans avoir à réaliser une comparaison d’empreintes.

L’outil permet d’observer dans l’exemple ci-dessous, que le processus récupère le nom de la machine, tente de détecter s'il est exécuté sur une machine virtuel, crée un fichier exécutable, écrit dans le répertoire temporaire de Windows, consulte la configuration du cache Internet du navigateur et s'arrête automatiquement lorsqu'il a terminé sa liste d’actions.

SDBOX permet également de visualiser l’ensemble des connexions au réseau établies lors de l’exécution du fichier :

Toujours dans la partie visualisation des connexions au réseau, il s’appuie sur l’excellent outil d’analyse de trafic Suricata, capable de déclencher des alertes en cas de connexion suspecte, comme ici lors du téléchargement de la charge utile :

On dirait bien que le père noël est passé avant l’heure cette année.

Passez de joyeuses fêtes de fin d’année !

[1] https://www.virustotal.com/fr/

[2] https://www.hybrid-analysis.com/

[3] https://www.blackhat.com/eu-18/arsenal/schedule/index.html#sndbox-the-artificial-intelligence-malware-research-platform-12972

[4] https://app.sndbox.com/

[5] https://suricata-ids.org/