L’analyse dynamique des logiciels malveillants est un élément clé de toute enquête sur les menaces. Cela implique l’exécution d’un échantillon d’un programme malveillant dans l’environnement isolé d’un bac à sable de malware pour surveiller son comportement et recueillir des indicateurs exploitables. Une analyse efficace doit être rapide, approfondie et précise. Ces cinq outils vous aideront à y parvenir facilement.
1. Interactivité
Avoir la possibilité d’interagir avec les logiciels malveillants et le système en temps réel constitue un grand avantage en matière d’analyse dynamique. De cette façon, vous pouvez non seulement observer son exécution, mais également voir comment il répond à vos entrées et déclenche des comportements spécifiques.
De plus, il vous fait gagner du temps en vous permettant de télécharger des échantillons hébergés sur des sites Web de partage de fichiers ou d’ouvrir ceux contenus dans une archive, ce qui est un moyen courant de fournir des charges utiles aux victimes.
 |
| L’e-mail de phishing initial contenant le pdf malveillant et le mot de passe de l’archive |
Regarde ça session bac à sable dans le Bac à sable ANY.RUN qui montre comment l’interactivité est utilisée pour analyser l’ensemble de la chaîne d’attaque, à partir d’un e-mail de phishing contenant une pièce jointe PDF. Le lien à l’intérieur du .pdf mène à un site Web de partage de fichiers où est hébergé un .zip protégé par mot de passe.
 |
| Le site Web hébergeant le fichier .zip |
Le bac à sable nous permet non seulement de télécharger l’archive mais aussi de saisir le mot de passe (qui se trouve dans l’e-mail) et d’extraire son contenu pour exécuter la charge utile malveillante.
 |
| Vous pouvez saisir manuellement un mot de passe pour ouvrir des archives protégées dans ANY.RUN |
Après avoir lancé le fichier exécutable trouvé dans l’archive, le bac à sable détecte instantanément que le système a été infecté par AsyncRAT, une famille de logiciels malveillants populaire utilisée par les attaquants pour contrôler à distance les machines des victimes et voler des données sensibles.
 |
| ANY.RUN fournit un verdict concluant sur chaque échantillon |
Il ajoute les balises correspondantes à l’interface et génère un rapport sur la menace.
Analysez les fichiers et les URL dans un environnement privé en temps réel du bac à sable ANY.RUN.
Obtenez un essai gratuit de 14 jours du bac à sable pour tester ses capacités.
2. Extraction des IOC
La collecte d’indicateurs de compromission (IOC) pertinents est l’un des principaux objectifs de l’analyse dynamique. L’explosion d’un malware dans un environnement réel l’oblige à exposer ses adresses de serveur C2, ses clés de chiffrement et d’autres paramètres qui garantissent sa fonctionnalité et sa communication avec les attaquants.
Bien que ces données soient souvent protégées et masquées par les développeurs de logiciels malveillants, certaines solutions sandbox sont équipées de capacités avancées de collecte d’IOC, facilitant l’identification de l’infrastructure malveillante.
 |
| Dans le cadre de chaque session d’analyse dans ANY.RUN, vous obtenez un rapport CIO complet |
Dans ANY.RUN, vous pouvez rapidement rassembler une variété d’indicateurs, notamment les hachages de fichiers, les URL malveillantes, les connexions C2, les requêtes DNS, etc.
 |
| Exemple de configuration AsyncRAT extraite par le bac à sable ANY.RUN |
Le bac à sable ANY.RUN va encore plus loin en présentant non seulement une liste d’indicateurs pertinents collectés au cours de la session d’analyse, mais également en extrayant les configurations de dizaines de familles de logiciels malveillants populaires. Voir un exemple de configuration de malware dans ce qui suit session bac à sable.
De telles configurations constituent la source la plus fiable d’IOC exploitables que vous pouvez utiliser sans hésitation pour améliorer vos systèmes de détection et améliorer l’efficacité de vos mesures de sécurité globales.
3. Cartographie MITRE ATT&CK
Prévenir les attaques potentielles sur votre infrastructure ne consiste pas seulement à rechercher de manière proactive les IOC utilisés par les attaquants. Une méthode plus durable consiste à comprendre les tactiques, techniques et procédures (TTP) utilisées dans les logiciels malveillants ciblant actuellement votre secteur.
Le framework MITRE ATT&CK vous aide à cartographier ces TTP pour vous permettre de voir ce que fait le malware et comment il s’intègre dans l’ensemble des menaces. En comprenant les TTP, vous pouvez construire des défenses plus solides, adaptées à votre organisation et arrêter les attaquants à la porte.
 |
| TTP d’un échantillon de malware AgentTesla analysés dans le bac à sable ANY.RUN |
Voir le analyse suivante de l’agent Tesla. Le service enregistre tous les principaux TTP utilisés dans l’attaque et présente des descriptions détaillées pour chacun d’eux.
Il ne vous reste plus qu’à prendre en compte ces informations importantes sur les menaces et à les utiliser pour renforcer vos mécanismes de sécurité.
4. Analyse du trafic réseau
L’analyse dynamique des logiciels malveillants nécessite également un examen approfondi du trafic réseau généré par le logiciel malveillant.
L’analyse des requêtes HTTP, des connexions et des requêtes DNS peut fournir des informations sur la communication du logiciel malveillant avec les serveurs externes, le type de données échangées et toute activité malveillante.
 |
| Analyse du trafic réseau dans le bac à sable ANY.RUN |
Le bac à sable ANY.RUN capture tout le trafic réseau et vous permet d’afficher les paquets reçus et envoyés aux formats HEX et texte.
 |
| Règle Suricata qui détecte l’activité d’exfiltration de données d’AgentTesla |
Outre le simple enregistrement du trafic, il est essentiel que le bac à sable détecte automatiquement les actions nuisibles. À cette fin, ANY.RUN utilise les règles Suricata IDS qui analysent l’activité du réseau et fournissent des notifications sur les menaces.
Vous pouvez également exporter des données au format PCAP pour une analyse détaillée à l’aide d’outils comme Wireshark.
Essayez l’analyse avancée du trafic réseau d’ANY.RUN avec un essai gratuit de 14 jours.
5. Analyse avancée des processus
Pour comprendre le flux d’exécution du malware et son impact sur le système, vous devez avoir accès à des informations détaillées sur les processus générés par celui-ci. Pour vous aider, le bac à sable de votre choix doit fournir une analyse avancée des processus qui couvre plusieurs domaines.
 |
| Graphique visuel dans le bac à sable ANY.RUN montrant l’exécution du malware AsynRAT |
Par exemple, visualiser l’arborescence des processus dans le Bac à sable ANY.RUN facilite le suivi de la séquence de création et d’arrêt des processus et identifie les processus clés critiques pour le fonctionnement du logiciel malveillant.
 |
| Le bac à sable ANY.RUN vous informe des fichiers avec des certificats non fiables |
Vous devez également être en mesure de vérifier l’authenticité du processus en examinant les détails de son certificat, notamment l’émetteur, le statut et la validité.
 |
| Dump du processus du malware XWorm disponible en téléchargement dans ANY.RUN |
Une autre fonctionnalité utile concerne les vidages de processus, qui peuvent contenir des informations vitales, telles que les clés de chiffrement utilisées par le logiciel malveillant. Un bac à sable efficace vous permettra de télécharger facilement ces fichiers pour effectuer une analyse médico-légale plus approfondie.
 |
| ANY.RUN affiche des ventilations détaillées des scripts PowerShell, JavaScript et VBScript |
L’une des tendances récentes en matière de cyberattaques est l’utilisation de logiciels malveillants sans fichier qui s’exécutent uniquement en mémoire. Pour l’attraper, vous devez avoir accès aux scripts et aux commandes exécutées pendant le processus d’infection.
 |
| Fichiers cryptés par le ransomware LockBit lors de l’analyse dans le bac à sable ANY.RUN |
Le suivi des événements de création, de modification et de suppression de fichiers est un autre élément essentiel de toute enquête sur les activités des logiciels malveillants. Cela peut vous aider à révéler si un processus tente de supprimer ou de modifier des fichiers dans des zones sensibles, telles que les répertoires système ou les dossiers de démarrage.
 |
| Exemple de XWorm utilisant la clé de registre Exécuter pour obtenir la persistance |
La surveillance des modifications du registre apportées par le processus est cruciale pour comprendre les mécanismes de persistance du malware. Le registre Windows est une cible courante pour la persistance des logiciels malveillants, car il peut être utilisé pour exécuter du code malveillant au démarrage ou modifier le comportement du système.
Analyser les logiciels malveillants et les menaces de phishing dans ANY.RUN Sandbox
ANY.RUN fournit un bac à sable cloud pour l’analyse des logiciels malveillants et du phishing qui fournit des résultats rapides et précis pour rationaliser vos enquêtes. Grâce à l’interactivité, vous pouvez librement interagir avec les fichiers et les URL que vous soumettez, ainsi qu’avec le système pour explorer la menace en profondeur.
Vous pouvez intégrer le bac à sable avancé d’ANY.RUN avec des fonctionnalités telles que les machines virtuelles Windows et Linux, le mode privé et le travail d’équipe dans votre organisation.
Laissez votre demande d’essai à tester le bac à sable ANY.RUN.