Investigation : Télécharger des fichiers pour l'analyse de malware

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Il existe deux méthodes permettant aux analystes de télécharger des fichiers pour l’analyse Malware Analysis.

Un analyste de malware possédant l'autorisation de Lancer une analyse Malware Analysis peut télécharger des fichiers à analyser à l'aide de l'option Analyser des fichiers dans la boîte de dialogue Sélectionner un service Malware Analysis.

Il est également possible de télécharger un fichier à analyser à l'aide d'un partage de fichiers observé.

Télécharger des fichiers manuellement

Cette rubrique fournit les instructions permettant de lancer l'analyse à la demande d'un fichier téléchargé. Lorsque vous téléchargez un fichier en vue d'une analyse, Security Analytics lance la tâche de téléchargement, puis l'ajoute à la file d'attente. Une fois la tâche terminée, vous pouvez consulter l'analyse dans Investigation > Malware Analysis.

Pour télécharger un fichier à analyser :

  1. Dans le menu Security Analytics, sélectionnez Investigation > Malware Analysis.
    La boîte de dialogue Sélectionner un service Malware Analysis s'affiche. Les hôtes et services Malware Analysis disponibles pour l'utilisateur actif y sont indiqués dans le panneau de gauche.
    MWASnJbLst.png
  2. Cliquez sur Afficher l'analyse.
    Le dashlet Analyser les malware s'affiche.
    ScanMw.png
  3. Cliquez sur ic-add.png
    Une vue du système de fichiers s'affiche afin que vous puissiez choisir des fichiers à télécharger.
  4. Sélectionnez un ou plusieurs fichiers dans la liste, puis cliquez sur Ouvrir.
    Les noms de ces fichiers sont ajoutés.
  5. Continuez à ajouter et à supprimer des fichiers jusqu'à ce que vous ayez établi la liste des fichiers à télécharger.
  6. Attribuez un nom à l'analyse, puis sélectionnez les types de fichiers à ignorer. Cette possibilité est particulièrement utile pour les archives zip qui contiennent différents types de fichier et écrase les paramètres de contournement par défaut.
  7. Cliquez sur Analyse.
    La tâche d'analyse est envoyée et Security Analytics affiche un message de confirmation pour un envoi réussi. La demande d'analyse est ajoutée au dashlet Liste des tâches d'analyse. Les paramètres de contournement de cette boîte de dialogue remplacent les paramètres par défaut dans les paramètres de configuration Malware Analysis de base.
  8. La tâche est ajoutée à la liste des tâches d'analyse dans la boîte de dialogue Sélectionner un service Malware Analysis et dans le dashlet Liste des tâches d'analyse du tableau de bord Unified.
    MwaFileScanJobList.png
  9. Pour consulter l'analyse une fois terminée, double-cliquez dessus.
    Le Récapitulatif des événements de malware pour l'analyse sélectionnée s'affiche.

Télécharger des fichiers à partir d'un dossier de suivi

Pour télécharger des fichiers à partir d’un dossier surveillé, vous pouvez déposer des fichiers dans un partage de fichiers surveillé pour Malware Analysis. Les analystes peuvent partager les règles YARA, les fichiers de hachage et les archives au format zip infectées avec Malware Analysis.

Security Analytics Malware Analysis surveille un partage de fichiers et utilise automatiquement les fichiers placés dans des dossiers spécifiques dans le partage de fichiers. Cette fonctionnalité est utile pour :

  • Importer en bloc des fichiers de hachage à partir de /var/lib/rsamalware/spectrum/hashWatch.
  • Ajouter des règles personnalisées YARA à la liste des indicateurs de compromission (IOC) sur l'hôte à partir de /var/lib/rsamalware/spectrum/yara/watch.
  • Créer des tâches d'analyse à la demande à partir d’une archive zip de fichiers zip infectés, à partir de /var/lib/rsamalware/spectrum/infectedZipWatch/watch.

Les analystes doivent préparer les fichiers pour l'utilisation en fonction des exigences ; l'extension du fichier doit être correcte et le fichier doit être copié dans le dossier surveillé approprié dans le partage de fichiers.

Importer une liste de hachage

Pour importer une liste de hachage à partir d'un répertoire surveillé, la liste de hachage doit être au format spécifié et doit être triée selon md5. Vous pouvez placer un fichier formaté dans un dossier (/var/lib/rsamalware/spectrum/hashWatch) sur l'hôte Malware Analysis pour qu'il soit automatiquement importé dans la base de données de hachage locale. Cette procédure est décrite dans la section « Configurer le filtre de hachage » dans le Guide de configuration Malware Analysis.

Pour importer une liste de hachage à l'aide de la méthode du dossier surveillé :

  1. Copiez les listes de hachage que vous souhaitez importer dans le répertoire /var/lib/rsamalware/spectrum/hashWatch.
    Security Analytics Malware Analysis surveille automatiquement ce dossier et traite les fichiers qui y sont placés.
    1. Security Analytics Malware Analysis ajoute chaque hachage trouvé dans les listes de hachage au filtre de hachage.
    2. S’il existe des erreurs de traitement, elles sont connectées à :/var/lib/rsamalware/spectrum/hashWatch/error
    3. Les fichiers traités sont catalogués ici :/var/lib/rsamalware/spectrum/hashWatch/processed
    4. Les fichiers traités ne sont pas supprimés du répertoire hashWatch.
  2. Après l'importation du hachage en bloc, l'administrateur système peut utiliser cronjob pour nettoyer les fichiers traités précédemment.

Importer les règles YARA vers la liste IOC

Les clients ayant des compétences et des connaissances avancées peuvent ajouter des capacités de détection à RSA Malware Analysis en créant des règles YARA et en les publiant dans RSA Live ou en les plaçant dans un dossier surveillé pour que l'hôte les utilise. La rubrique Implémenter du contenu YARA personnalisé fournit des informations détaillées sur les conditions requises pour utiliser un contenu YARA personnalisé et créer des règles.

Lorsque les règles sont prêtes, placez les fichiers YARA personnalisés dans le dossier que le service Malware Analysis surveille :
/var/lib/rsamalware/spectrum/yara/watch
Le fichier est utilisé en une minute.
Après cela, Security Analytics déplace le fichier vers le dossier processed, et la nouvelle règle est ajoutée à la vue Configuration du service Malware Analysis > onglet Indicateurs de compromission.

YARA-IOC.png

Importer des fichiers dans la liste des tâches d'analyse

Lorsque vous obtenez des exemples issus des solutions de sécurité du périmètre et que vous souhaitez effectuer une analyse approfondie des fichiers, vous pouvez compresser les fichiers et protéger l'archive avec infected, avant de l'ajouter au dossier surveillé pour que Malware Analysis la traite. Cette archive compressée est prête à être placée dans le dossier surveillé : /var/lib/rsamalware/spectrum/infectedZipWatch/watch.

Remarque : La taille maximale de l'archive est de 100 Mo.

Pour analyser les fichiers zip infectés protégés par mot de passe, Malware Analysis utilise les archives dans un dossier surveillé et crée une tâche à la demande qui est ajoutée à la liste des tâches d'analyse.

  1. Une fois connecté en tant qu’administrateur, placez les fichiers à traiter dans un fichier zip avec le mot de passe infected à l'emplacement /var/lib/rsamalware/spectrum/infectedZipWatch/watch
    En une minute ou deux, Malware Analysis traite l’archive et crée une tâche à la demande dans la liste des tâches d’analyse. Le nom de la tâche d'analyse correspond au nom du fichier, l'utilisateur correspond à partage de fichiers et le type d'événement correspond à 1. L'archive est déplacée vers /var/lib/rsamalware/spectrum/infectedZipWatch/processed
    104MWAFileSharejob.png
  2. Lorsque la tâche est ajoutée à la liste des tâches d'analyse, exécutez un script ou cronjob pour nettoyer le fichier zip dans /var/lib/rsamalware/spectrum/infectedZipWatch/processed.
You are here
Table of Contents > Mener une analyse de malware > Télécharger des fichiers pour l'analyse de malware

Attachments

    Outcomes