MA : Comment fonctionne Malware Analysis

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Security Analytics Malware Analysis est un processeur automatisé d'analyse de malware, conçu pour analyser certains types d'objets fichiers (par exemple, Windows PE, PDF et MS Office) afin d'évaluer la probabilité de leur malveillance. À l'aide de Malware Analysis, l'analyste de malware peut classer par ordre de priorité le grand nombre de fichiers capturés afin de concentrer les efforts d'analyse sur les fichiers qui sont les plus susceptibles d'être malveillants. 

Security Analytics Malware Analysis détecte des indicateurs de compromission en utilisant quatre méthodologies distinctes d'analyse :

  • Analyse de session de réseau (réseau)
  • Analyse de fichier statique (statique)
  • Analyse de fichier dynamique (sandbox)
  • Analyse de communauté de sécurité (communauté)

Chacune des quatre méthodologies distinctes d'analyse est conçue pour compenser toutes faiblesses inhérentes aux autres. Par exemple, Analyse de fichier dynamique peut compenser des attaques de type Zero-Day qui ne sont pas détectées pendant la phase Analyse de communauté de sécurité. En évitant l'analyse de programme malveillant qui se concentre strictement sur une méthodologie, l'analyste a plus de chances d'être protégé contre des résultats faux négatifs.

En plus des indicateurs de compromission intégrés, Malware Analysis prend également en charge, à partir de Security Analytics 10.3, les indicateurs de compromission écrits dans le langage YARA. YARA est un langage de règles qui permet aux chercheurs spécialisés d'identifier et de classer les échantillons de programmes malveillants. Cela permet aux auteurs d'IOC d'ajouter des fonctionnalités de détection à RSA Malware Analysis en créant des règles YARA et en les publiant dans RSA Live. Ces IOC basés sur YARA dans RSA Live seront automatiquement téléchargés et activés sur l'hôte abonné afin de compléter l'analyse existante qui est réalisé dans chaque fichier analysé. 

À partir de Security Analytics 10.4, Malware Analysis comporte des fonctions qui prennent en charge des alertes pour Incident Management.

Présentation fonctionnelle

La figure suivante illustre la relation fonctionnelle entre les services de base Security Analytics (Decoder, Concentrator et Broker), le service Security Analytics Malware Analysis et le serveur Security Analytics.

Le service Malware Analysis analyse des objets de fichier en utilisant une combinaison des méthodes suivantes :

  • Rappel automatique continu d'un Concentrator ou d'un Broker pour extraire les sessions identifiées par un parser qui présentent un contenu potentiellement malveillant.
  • Rappel à la demande d'un Concentrator ou d'un Broker pour extraire les sessions identifiées par un analyste de malware qui présentent un contenu potentiellement malveillant.
  • Téléchargement de fichiers à la demande à partir d'un dossier spécifique à l'utilisateur.

Lorsque l'interrogation automatique d'un Concentrator ou d'un Broker est activée, le service Malware Analysis extrait et classe par priorité en permanence le contenu exécutable, les documents PDF et les documents Microsoft Office sur votre réseau, directement à partir de données capturées et analysées par votre service de base Security Analytics. Étant donné que le service Malware Analysis se connecte à un Concentrator ou un Broker pour extraire uniquement les fichiers exécutables qui sont marqués comme étant des programmes malveillants potentiels, le processus est à la fois rapide et efficace. Ce processus est continu et ne nécessite aucune surveillance.

Lorsque l'interrogation automatique d'un Concentrator ou d'un Broker est choisie, l'analyste de malware utilise Security Analytics Investigation pour explorer les données capturées et choisir des sessions à analyser. Le service Malware Analysis utilise ces informations pour interroger automatiquement le Concentrator ou le Broker et télécharger les sessions spécifiées en vue de leur analyse.

Le téléchargement à la demande de fichiers fournit une méthode permettant à l'analyste d'examiner des fichiers capturés externes à l'infrastructure de base. L'analyste de malware utilise Security Analytics pour choisir un emplacement de dossier et identifier un ou plusieurs fichiers à télécharger et faire analyser par Security Analytics Malware Analysis. Ces fichiers sont analysés en utilisant la même méthodologie que les fichiers extraits automatiquement de sessions de réseau. 

Méthode d'analyse

Pour l'analyse réseau, le service Malware Analysis recherche des caractéristiques qui semblent s'écarter de la norme, tout comme le fait un analyste. En consultant des centaines à des milliers de caractéristiques et en associant les résultats dans un système de notation pondéré, des sessions légitimes qui ont par coïncidence quelques caractéristiques anormales sont ignorées, alors que celles qui sont réellement incorrectes sont mises en surbrillance. Les utilisateurs peuvent apprendre des modèles qui indiquent une activité anormale dans les sessions et qui servent d'indicateurs justifiant un examen plus poussé, appelés indicateurs de compromission.

Le service Malware Analysis peut effectuer une analyse statique concernant des objets suspects qu'il trouve sur le réseau et déterminer si ces objets contiennent du code malveillant. Pour l'analyse Communauté, un nouveau programme malveillant détecté sur le réseau est poussé vers le RSA Cloud pour vérifier au regard des flux et données d'analyse de programme malveillant propres à RSA du SANS Internet Storm Center, du SRI International, du Département du Trésor et de VeriSign. Pour l'analyse Sandbox, les services peuvent également pousser des données dans des hôtes principaux de gestion des événements et des informations de sécurité (SIEM) (le ThreatGrid Cloud). 

Security Analytics Malware Analysis comporte une méthode d'analyse spécifique en partenariat avec des experts et des leaders du secteur dont les technologies peuvent enrichir le système de notation Security Analytics Malware Analysis.

Accès du serveur Security Analytics au service Malware Analysis

Le serveur Security Analytics est configuré pour se connecter au service Security Analytics Malware Analysis et importer les données marquées pour être soumises à une analyse plus approfondie dans Security Analytics Investigation. L'accès se base sur trois niveaux d'inscription.

  • Inscription gratuite : Tous les clients Security Analytics bénéficient d'une inscription gratuite, avec une clé d'évaluation gratuite pour l'analyse ThreatGrid. Le service Malware Analysis est limité à 100 exemples de fichiers par jour. Le nombre d'exemples (dans le jeu de fichiers ci-dessus) soumis au ThreatGrid Cloud pour l'analyse sandbox est limité à 5 par jour. Si une session de réseau comporte 100 fichiers, les clients atteindront la limite du taux après traitement de la session de réseau unique. Si 100 fichiers ont été téléchargés manuellement, alors la limite du taux est atteinte.
  • Niveau d'inscription standard : Le nombre d'envois au service Malware Analysis est illimité. Le nombre d'exemples soumis au ThreatGrid Cloud pour une analyse sandbox est de 1 000 par jour.
  • Niveau d'inscription entreprise : Le nombre d'envois au service Malware Analysis est illimité. Le nombre d'exemples soumis au ThreatGrid Cloud pour analyse sandbox est de 5 000 par jour.

Méthode de notation

Par défaut, les Indicateurs de compromis (IOC) sont réglés pour refléter les bonnes pratiques du secteur. Chaque IOC se voit attribuer une plage de notation comprise entre -100 (bon) et +100 (mauvais). Pendant l'analyse, les IOC qui se déclenchent entraîne un déplacement vers le haut ou vers le bas de la note pour indiquer la probabilité que l'exemple soit malveillant. Le réglage des IOC est exposé dans Security Analytics afin que l'analyste de malware puisse choisir de remplacer la note attribuée ou de désactiver l'évaluation d'un IOC. L'analyste a la possibilité d'utiliser le réglage par défaut ou de personnaliser complètement le réglage selon des besoins spécifiques.

Les IOC basés sur YARA sont imbriqués dans les IOC intégrés au sein de chaque catégorie intégrée et ne sont pas distincts des IOC natifs. Lors de la visualisation des IOC dans la vue Configuration de service, les administrateurs peuvent sélectionner YARA dans la liste de sélection Module pour consulter une liste de règles YARA. 

Lorsqu'une session a été importée dans Security Analytics, toutes les fonctionnalités d'affichage et d'analyse de Security Analytics Investigation sont disponibles pour poursuivre l'analyse des indicateurs de compromission. Lorsqu'ils sont consultés dans Investigation, les IOC YARA sont différenciés des IOC intégrés natifs par la balise Yara rule..

Déploiement

Le service Security Analytics Malware Analysis est déployé en tant que service colocalisé sur un serveur Security Analytics ou avec un hôte RSA Malware Analysis dédié.

L'hôte Malware Analysis dédié comporte un Broker intégré qui se connecte à l'infrastructure de base Security Analytics (un autre Broker ou Concentrator). Avant l'établissement de cette connexion, une collection de parsers et de feeds doit être ajoutée aux Decoders connectés aux Concentrators et aux Brokers desquels le service Malware Analysis extrait les données.  Les fichiers de données suspects peuvent ainsi être marqués en vue de leur extraction. Ces fichiers sont du contenu marqué malware analysis qui sont disponibles via le système de gestion de contenu RSA Live.

You are here
Table of Contents > Comment fonctionne Malware Analysis

Attachments

    Outcomes