L'analyse de malwares
Introduction à l'analyse de malwares
Pourquoi analyser des malwares ?
L'analyse de malwares peut avoir une grande variété d'objectifs :
- Récupérer des indicateurs de compromission pour détecter les machines infectées et anticiper les infections
- Etudier l'impact du malware
- Identifier les vulnérabilités exploitées
- Identifier son origine
- Apprendre et s'amuser !
Les techniques d'analyse
Lorsque l'on veut analyser un échantillon suspect, la plupart du temps nous avons à faire
à un exécutable sans code source lisible.
Pour être en mesure de comprendre son fonctionnement, il est nécessaire d'utiliser
une variété de techniques et d'astuces.
Nous distinguons deux types d'analyses complémentaires :
L'objectif est ici de récupérer le maximum d'informations sans exécuter le malware.
Pour ce faire l'analyste va identifier les chaines de caractères utilisées par le
programme, analyser les metadata et utiliser un désassembleur pour analyser le
code.
Cette technique peut se révéler très efficace mais montre rapidement ses
limites en
présence de malwares complexes comportant de l'obfuscation.
Contrairement à l'analyse statique, l'analyse dynamique vise à exécuter le malware
pour comprendre son comportement.
Autrement appelée analyse comportementale, il s'agit ici d'observer les interactions
du malware avec le système.
Pour pouvoir réaliser une analyse dynamique sans risque, il est nécessaire de
disposer d'un environnement sécurisé et isolé.
L'avantage est ici de voir en pratique le fonctionnement du malware.
Cependant il y à un risque de ne pas observer certaines fonctionnalités. De plus,
certains
malwares sophistiqués sont capable de modifier leur comportement en présence
d'analyse dynamique.
Règles d'or
Pour finir cette introduction, voici quelques règles de bases lorsqu'on fait de l'analyse de malwares :
La plupart des malwares sont complexes et il est rare de pouvoir comprendre leur fonctionnement à 100%. C'est pourquoi il est important de comprendre le malware dans son ensemble en étudiant les fonctionnalités principales sans entrer dans les détails.
Comme dans de nombreux domaines, il n'y a pas de solution miracle en analyse de malware. C'est pourquoi de nombreux outils existent. Il est important de savoir profiter de cette diversité pour trouver la méthode qui est la plus adaptée à notre besoin.