Publicité en cours de chargement...

Publicité en cours de chargement...

SNDBOX : l’intelligence artificielle appliquée à l’analyse de fichiers malveillants

18 déc. 2018 - 10:09,
Tribune - Charles Blanc-Rolin
Quel RSSI n’a jamais rêvé d’être en capacité d’analyser un fichier suspect, de jouer le « pro du reverse engineering » malgré des connaissances techniques limitées et de savoir concrètement les conséquences de l’exécution d’un fichier qu’il suspecte d’être malveillant ?

Le premier réflexe de beaucoup d’entre nous est de soumettre son fichier à la plateforme Virus Total [1], qui va lancer une analyse du fichier par comparaison de signatures sur plus d’une cinquantaine d’antivirus et afficher les résultats. Des éventuels avis d’autres personnes ayant déjà soumis le même fichier peuvent également être affichés, permettant de se conforter (ou pas) dans l’idée que le fichier soumis est malveillant. Si le fichier est encore inconnu des solutions antivirus, les résultats ne seront pas très pertinents.

Certains iront un peu plus loin en soumettant le fichier à la plateforme Hybrid Analysis [2], qui permet, en plus d’afficher les résultats d’analyses de Virus Total à partir de l’empreinte du fichier,  d’exécuter le fichier sur une machine virtuelle de sandboxing et d’afficher des captures d’écran de l’exécution du fichier soumis sur cette VM. Ce qui peut s’avérer pertinent dans certains cas, mais, connaître concrètement les agissements du fichier suspect reste encore impossible.

Le 5 décembre dernier, lors de la conférence Black Hat Europe [3] qui s’est tenue à Londres, les deux chercheurs Israéliens, le Docteur Ran Rubin, expert en détection de compromissions, avec une spécialisation dans l’application d’algorithmes de « deep learning » et Ariel Koren, spécialiste en reverse engineering de logiciels malveillants, ont présenté SNDBOX [4], leur nouvel outil d’analyse d’échantillons de fichiers malveillants en ligne et ouvert à tous, qui permet d’aller beaucoup plus loin !

En effet si leur outil est en premier lieu destiné à la recherche et aux chercheurs, il permet à tout un chacun de soumettre des fichiers pour analyse et de connaître avec précisions les conséquences de leur exécution dans une interface graphique très simple, ne nécessitant pas d’être un expert en reverse engineering ou un pentester chevronné pour comprendre les dégâts que pourrait causer l’exécution du fichier soumis.
L’analyse prendra beaucoup plus de temps qu’avec la plateforme Virus Total, ou un simple « scan » antivirus lancé sur votre poste. En effet car, le fichier va être exécuté sur machine de « sandboxing », qui ne sera évidement pas détecté comme telle par les malwares les plus sophistiqués et l’outil va produire un rapport complet des agissements du fichier, à partir duquel il va déterminer si le fichier est malveillant ou non.

Il sera donc possible de découvrir très simplement le ou les processus exécutés et l’enchaînement d’actions réalisées lors de l’exécution du fichier, avec des règles permettant de définir éventuellement le type de logiciel malveillant.

Dans cet exemple, le logiciel malveillant modifie le fond d’écran de la machine et ouvre un fichier d’instructions dans le navigateur. L’outil le classe donc logiquement dans la catégorie des rançongiciels, sans avoir à réaliser une comparaison d’empreintes.

IA-ransomware

L’outil permet d’observer dans l’exemple ci-dessous, que le processus récupère le nom de la machine, tente de détecter s'il est exécuté sur une machine virtuel, crée un fichier exécutable, écrit dans le répertoire temporaire de Windows, consulte la configuration du cache Internet du navigateur et s'arrête automatiquement lorsqu'il a terminé sa liste d’actions.

IA-actions

SDBOX permet également de visualiser l’ensemble des connexions au réseau établies lors de l’exécution du fichier :

network

Toujours dans la partie visualisation des connexions au réseau, il s’appuie sur l’excellent outil d’analyse de trafic Suricata, capable de déclencher des alertes en cas de connexion suspecte, comme ici lors du téléchargement de la charge utile :

trojan

On dirait bien que le père noël est passé avant l’heure cette année.

Passez de joyeuses fêtes de fin d’année !


[1] https://www.virustotal.com/fr/

[2] https://www.hybrid-analysis.com/

[3] https://www.blackhat.com/eu-18/arsenal/schedule/index.html#sndbox-the-artificial-intelligence-malware-research-platform-12972

[4] https://app.sndbox.com/

[5] https://suricata-ids.org/

Avez-vous apprécié ce contenu ?

A lire également.

ethicovigilance-numerique-premiers-signaux-dalerte-dans-la-sante-connectee

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

contourner-les-regles-faille-cyber-eternelle-et-consubstantielle-a-lespece-humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

larnaque-a-larret-de-travail-comme-source-de-reflexion

L’arnaque à l’arrêt de travail comme source de réflexion

14 avril 2025 - 21:57,

Tribune

-
Cédric Cartau

Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...

panorama-forcement-non-exhaustif-du-fleau-des-arnaques-en-ligne-en-ce-debut-2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.