Publicité en cours de chargement...

Publicité en cours de chargement...

SNDBOX : l’intelligence artificielle appliquée à l’analyse de fichiers malveillants

18 déc. 2018 - 10:09,
Tribune - Charles Blanc-Rolin
Quel RSSI n’a jamais rêvé d’être en capacité d’analyser un fichier suspect, de jouer le « pro du reverse engineering » malgré des connaissances techniques limitées et de savoir concrètement les conséquences de l’exécution d’un fichier qu’il suspecte d’être malveillant ?

Le premier réflexe de beaucoup d’entre nous est de soumettre son fichier à la plateforme Virus Total [1], qui va lancer une analyse du fichier par comparaison de signatures sur plus d’une cinquantaine d’antivirus et afficher les résultats. Des éventuels avis d’autres personnes ayant déjà soumis le même fichier peuvent également être affichés, permettant de se conforter (ou pas) dans l’idée que le fichier soumis est malveillant. Si le fichier est encore inconnu des solutions antivirus, les résultats ne seront pas très pertinents.

Certains iront un peu plus loin en soumettant le fichier à la plateforme Hybrid Analysis [2], qui permet, en plus d’afficher les résultats d’analyses de Virus Total à partir de l’empreinte du fichier,  d’exécuter le fichier sur une machine virtuelle de sandboxing et d’afficher des captures d’écran de l’exécution du fichier soumis sur cette VM. Ce qui peut s’avérer pertinent dans certains cas, mais, connaître concrètement les agissements du fichier suspect reste encore impossible.

Le 5 décembre dernier, lors de la conférence Black Hat Europe [3] qui s’est tenue à Londres, les deux chercheurs Israéliens, le Docteur Ran Rubin, expert en détection de compromissions, avec une spécialisation dans l’application d’algorithmes de « deep learning » et Ariel Koren, spécialiste en reverse engineering de logiciels malveillants, ont présenté SNDBOX [4], leur nouvel outil d’analyse d’échantillons de fichiers malveillants en ligne et ouvert à tous, qui permet d’aller beaucoup plus loin !

En effet si leur outil est en premier lieu destiné à la recherche et aux chercheurs, il permet à tout un chacun de soumettre des fichiers pour analyse et de connaître avec précisions les conséquences de leur exécution dans une interface graphique très simple, ne nécessitant pas d’être un expert en reverse engineering ou un pentester chevronné pour comprendre les dégâts que pourrait causer l’exécution du fichier soumis.
L’analyse prendra beaucoup plus de temps qu’avec la plateforme Virus Total, ou un simple « scan » antivirus lancé sur votre poste. En effet car, le fichier va être exécuté sur machine de « sandboxing », qui ne sera évidement pas détecté comme telle par les malwares les plus sophistiqués et l’outil va produire un rapport complet des agissements du fichier, à partir duquel il va déterminer si le fichier est malveillant ou non.

Il sera donc possible de découvrir très simplement le ou les processus exécutés et l’enchaînement d’actions réalisées lors de l’exécution du fichier, avec des règles permettant de définir éventuellement le type de logiciel malveillant.

Dans cet exemple, le logiciel malveillant modifie le fond d’écran de la machine et ouvre un fichier d’instructions dans le navigateur. L’outil le classe donc logiquement dans la catégorie des rançongiciels, sans avoir à réaliser une comparaison d’empreintes.

IA-ransomware

L’outil permet d’observer dans l’exemple ci-dessous, que le processus récupère le nom de la machine, tente de détecter s'il est exécuté sur une machine virtuel, crée un fichier exécutable, écrit dans le répertoire temporaire de Windows, consulte la configuration du cache Internet du navigateur et s'arrête automatiquement lorsqu'il a terminé sa liste d’actions.

IA-actions

SDBOX permet également de visualiser l’ensemble des connexions au réseau établies lors de l’exécution du fichier :

network

Toujours dans la partie visualisation des connexions au réseau, il s’appuie sur l’excellent outil d’analyse de trafic Suricata, capable de déclencher des alertes en cas de connexion suspecte, comme ici lors du téléchargement de la charge utile :

trojan

On dirait bien que le père noël est passé avant l’heure cette année.

Passez de joyeuses fêtes de fin d’année !


[1] https://www.virustotal.com/fr/

[2] https://www.hybrid-analysis.com/

[3] https://www.blackhat.com/eu-18/arsenal/schedule/index.html#sndbox-the-artificial-intelligence-malware-research-platform-12972

[4] https://app.sndbox.com/

[5] https://suricata-ids.org/

Avez-vous apprécié ce contenu ?

A lire également.

Illustration MedGPT : le premier assistant IA médical français, alternative à ChatGPT

MedGPT : le premier assistant IA médical français, alternative à ChatGPT

17 sept. 2025 - 08:48,

Actualité

- DSIH

La startup bordelaise Synapse Medicine vient de franchir une étape majeure dans le domaine de la santé numérique avec le lancement de MedGPT, un assistant conversationnel basé sur l’intelligence artificielle et conçu exclusivement pour les professionnels de santé.

Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte

15 sept. 2025 - 22:20,

Tribune

-
Cédric Cartau

Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...

Illustration Tour de France CaRE Domaine 2

Tour de France CaRE Domaine 2

13 sept. 2025 - 16:20,

Communiqué

- Orange Cyberdefense

La cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.

Illustration CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

08 sept. 2025 - 11:50,

Tribune

-
Manon DALLEAU

Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.