Publicité en cours de chargement...
SNDBOX : l’intelligence artificielle appliquée à l’analyse de fichiers malveillants
Le premier réflexe de beaucoup d’entre nous est de soumettre son fichier à la plateforme Virus Total [1], qui va lancer une analyse du fichier par comparaison de signatures sur plus d’une cinquantaine d’antivirus et afficher les résultats. Des éventuels avis d’autres personnes ayant déjà soumis le même fichier peuvent également être affichés, permettant de se conforter (ou pas) dans l’idée que le fichier soumis est malveillant. Si le fichier est encore inconnu des solutions antivirus, les résultats ne seront pas très pertinents.
Certains iront un peu plus loin en soumettant le fichier à la plateforme Hybrid Analysis [2], qui permet, en plus d’afficher les résultats d’analyses de Virus Total à partir de l’empreinte du fichier, d’exécuter le fichier sur une machine virtuelle de sandboxing et d’afficher des captures d’écran de l’exécution du fichier soumis sur cette VM. Ce qui peut s’avérer pertinent dans certains cas, mais, connaître concrètement les agissements du fichier suspect reste encore impossible.
Le 5 décembre dernier, lors de la conférence Black Hat Europe [3] qui s’est tenue à Londres, les deux chercheurs Israéliens, le Docteur Ran Rubin, expert en détection de compromissions, avec une spécialisation dans l’application d’algorithmes de « deep learning » et Ariel Koren, spécialiste en reverse engineering de logiciels malveillants, ont présenté SNDBOX [4], leur nouvel outil d’analyse d’échantillons de fichiers malveillants en ligne et ouvert à tous, qui permet d’aller beaucoup plus loin !
En effet si leur outil est en premier lieu destiné à la recherche et aux chercheurs, il permet à tout un chacun de soumettre des fichiers pour analyse et de connaître avec précisions les conséquences de leur exécution dans une interface graphique très simple, ne nécessitant pas d’être un expert en reverse engineering ou un pentester chevronné pour comprendre les dégâts que pourrait causer l’exécution du fichier soumis.
L’analyse prendra beaucoup plus de temps qu’avec la plateforme Virus Total, ou un simple « scan » antivirus lancé sur votre poste. En effet car, le fichier va être exécuté sur machine de « sandboxing », qui ne sera évidement pas détecté comme telle par les malwares les plus sophistiqués et l’outil va produire un rapport complet des agissements du fichier, à partir duquel il va déterminer si le fichier est malveillant ou non.
Il sera donc possible de découvrir très simplement le ou les processus exécutés et l’enchaînement d’actions réalisées lors de l’exécution du fichier, avec des règles permettant de définir éventuellement le type de logiciel malveillant.
Dans cet exemple, le logiciel malveillant modifie le fond d’écran de la machine et ouvre un fichier d’instructions dans le navigateur. L’outil le classe donc logiquement dans la catégorie des rançongiciels, sans avoir à réaliser une comparaison d’empreintes.
L’outil permet d’observer dans l’exemple ci-dessous, que le processus récupère le nom de la machine, tente de détecter s'il est exécuté sur une machine virtuel, crée un fichier exécutable, écrit dans le répertoire temporaire de Windows, consulte la configuration du cache Internet du navigateur et s'arrête automatiquement lorsqu'il a terminé sa liste d’actions.
SDBOX permet également de visualiser l’ensemble des connexions au réseau établies lors de l’exécution du fichier :
Toujours dans la partie visualisation des connexions au réseau, il s’appuie sur l’excellent outil d’analyse de trafic Suricata, capable de déclencher des alertes en cas de connexion suspecte, comme ici lors du téléchargement de la charge utile :
On dirait bien que le père noël est passé avant l’heure cette année.
Passez de joyeuses fêtes de fin d’année !
[1] https://www.virustotal.com/fr/
Avez-vous apprécié ce contenu ?
A lire également.

MedGPT : le premier assistant IA médical français, alternative à ChatGPT
17 sept. 2025 - 08:48,
Actualité
- DSIHLa startup bordelaise Synapse Medicine vient de franchir une étape majeure dans le domaine de la santé numérique avec le lancement de MedGPT, un assistant conversationnel basé sur l’intelligence artificielle et conçu exclusivement pour les professionnels de santé.
Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte
15 sept. 2025 - 22:20,
Tribune
-Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...

Tour de France CaRE Domaine 2
13 sept. 2025 - 16:20,
Communiqué
- Orange CyberdefenseLa cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA
08 sept. 2025 - 11:50,
Tribune
-Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...