Publicité en cours de chargement...

Publicité en cours de chargement...

SNDBOX : l’intelligence artificielle appliquée à l’analyse de fichiers malveillants

18 déc. 2018 - 10:09,
Tribune - Charles Blanc-Rolin
Quel RSSI n’a jamais rêvé d’être en capacité d’analyser un fichier suspect, de jouer le « pro du reverse engineering » malgré des connaissances techniques limitées et de savoir concrètement les conséquences de l’exécution d’un fichier qu’il suspecte d’être malveillant ?

Le premier réflexe de beaucoup d’entre nous est de soumettre son fichier à la plateforme Virus Total [1], qui va lancer une analyse du fichier par comparaison de signatures sur plus d’une cinquantaine d’antivirus et afficher les résultats. Des éventuels avis d’autres personnes ayant déjà soumis le même fichier peuvent également être affichés, permettant de se conforter (ou pas) dans l’idée que le fichier soumis est malveillant. Si le fichier est encore inconnu des solutions antivirus, les résultats ne seront pas très pertinents.

Certains iront un peu plus loin en soumettant le fichier à la plateforme Hybrid Analysis [2], qui permet, en plus d’afficher les résultats d’analyses de Virus Total à partir de l’empreinte du fichier,  d’exécuter le fichier sur une machine virtuelle de sandboxing et d’afficher des captures d’écran de l’exécution du fichier soumis sur cette VM. Ce qui peut s’avérer pertinent dans certains cas, mais, connaître concrètement les agissements du fichier suspect reste encore impossible.

Le 5 décembre dernier, lors de la conférence Black Hat Europe [3] qui s’est tenue à Londres, les deux chercheurs Israéliens, le Docteur Ran Rubin, expert en détection de compromissions, avec une spécialisation dans l’application d’algorithmes de « deep learning » et Ariel Koren, spécialiste en reverse engineering de logiciels malveillants, ont présenté SNDBOX [4], leur nouvel outil d’analyse d’échantillons de fichiers malveillants en ligne et ouvert à tous, qui permet d’aller beaucoup plus loin !

En effet si leur outil est en premier lieu destiné à la recherche et aux chercheurs, il permet à tout un chacun de soumettre des fichiers pour analyse et de connaître avec précisions les conséquences de leur exécution dans une interface graphique très simple, ne nécessitant pas d’être un expert en reverse engineering ou un pentester chevronné pour comprendre les dégâts que pourrait causer l’exécution du fichier soumis.
L’analyse prendra beaucoup plus de temps qu’avec la plateforme Virus Total, ou un simple « scan » antivirus lancé sur votre poste. En effet car, le fichier va être exécuté sur machine de « sandboxing », qui ne sera évidement pas détecté comme telle par les malwares les plus sophistiqués et l’outil va produire un rapport complet des agissements du fichier, à partir duquel il va déterminer si le fichier est malveillant ou non.

Il sera donc possible de découvrir très simplement le ou les processus exécutés et l’enchaînement d’actions réalisées lors de l’exécution du fichier, avec des règles permettant de définir éventuellement le type de logiciel malveillant.

Dans cet exemple, le logiciel malveillant modifie le fond d’écran de la machine et ouvre un fichier d’instructions dans le navigateur. L’outil le classe donc logiquement dans la catégorie des rançongiciels, sans avoir à réaliser une comparaison d’empreintes.

IA-ransomware

L’outil permet d’observer dans l’exemple ci-dessous, que le processus récupère le nom de la machine, tente de détecter s'il est exécuté sur une machine virtuel, crée un fichier exécutable, écrit dans le répertoire temporaire de Windows, consulte la configuration du cache Internet du navigateur et s'arrête automatiquement lorsqu'il a terminé sa liste d’actions.

IA-actions

SDBOX permet également de visualiser l’ensemble des connexions au réseau établies lors de l’exécution du fichier :

network

Toujours dans la partie visualisation des connexions au réseau, il s’appuie sur l’excellent outil d’analyse de trafic Suricata, capable de déclencher des alertes en cas de connexion suspecte, comme ici lors du téléchargement de la charge utile :

trojan

On dirait bien que le père noël est passé avant l’heure cette année.

Passez de joyeuses fêtes de fin d’année !


[1] https://www.virustotal.com/fr/

[2] https://www.hybrid-analysis.com/

[3] https://www.blackhat.com/eu-18/arsenal/schedule/index.html#sndbox-the-artificial-intelligence-malware-research-platform-12972

[4] https://app.sndbox.com/

[5] https://suricata-ids.org/

Avez-vous apprécié ce contenu ?

A lire également.

MEDTECH_IA 2025 – IA, santé et innovation | Jeudi 18 juin – Domaine de Verchant à Castelnau-le-Lez (Métropole de Montpellier)

12 juin 2025 - 17:56,

Communiqué

- MEDTECH_IA

L'intelligence artificielle révolutionne le secteur de la santé, ouvrant des perspectives inédites pour l'innovation et la performance. Mais comment passer de la promesse à la réalité ? Comment redéfinir le parcours de soins ? Medtech_IA, rendez-vous incontournable de la transformation numérique du ...

Illustration APinnov 2025 : une édition placée sous le signe l’intelligence artificielle

APinnov 2025 : une édition placée sous le signe l’intelligence artificielle

10 juin 2025 - 17:47,

Communiqué

- l’AP-HP

La 21e édition d'APinnov, journée emblématique autour des technologies de l’AP-HP, s’est tenue aujourd’hui sous le thème « Soigner, innover, transférer : la science et la technologie au service du patient ». Près de 480 participants, porteurs de projets, industriels, incubateurs d’entreprises, pépin...

Illustration Vu à SantExpo 2025 : Automatiser et revaloriser le codage des séjours hospitaliers grâce à l’interaction du PMSI Dedalus et de l’IA SANCARE

Vu à SantExpo 2025 : Automatiser et revaloriser le codage des séjours hospitaliers grâce à l’interaction du PMSI Dedalus et de l’IA SANCARE

10 juin 2025 - 10:27,

Actualité

- DSIH, Pauline Nicolas

Optimiser le codage PMSI par l’innovation et l’intelligence artificielle, tel est le message clé de la dernière conférence qui s’est tenue au sein de l’auditorium Dedalus en clôture de cette 59ème édition de SantExpo. Dedalus, leader des solutions PMSI en France, et SANCARE, spécialiste de l’intelli...

Illustration IA & éthique du numérique en santé : le guide d’implémentation de l’ANS

IA & éthique du numérique en santé : le guide d’implémentation de l’ANS

09 juin 2025 - 21:17,

Tribune

-
Alexandre FIEVEÉ &
Alice ROBERT

Compte tenu, d’une part, des perspectives d’amélioration que l’IA promet dans le secteur de la santé et, d’autre part, de la montée en charge rapide de l’offre de systèmes d’IA (SIA), la cellule éthique de la Délégation au numérique en santé (DNS) a réuni un groupe de travail (GT) pluridisciplinaire...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.