Investigate : Fonctions Malware Analysis

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

NetWitness Suite Malware Analysis est un processeur automatisé d'analyse de malware, conçu pour analyser certains types d'objets fichiers (par exemple, Windows portable executable (PE), PDF et MS Office) afin d'évaluer la probabilité de leur malveillance. 

Malware Analysis détecte des indicateurs de compromission en utilisant quatre méthodologies distinctes d'analyse :

  • Analyse de session de réseau (réseau)
  • Analyse de fichier statique (statique)
  • Analyse de fichier dynamique (sandbox)
  • Analyse de communauté de sécurité (communauté)

Chacune des quatre méthodologies distinctes d'analyse est conçue pour compenser toutes faiblesses inhérentes aux autres. Par exemple, Analyse de fichier dynamique peut compenser des attaques de type Zero-Day qui ne sont pas détectées pendant la phase Analyse de communauté de sécurité. En évitant l'analyse de programme malveillant qui se concentre strictement sur une méthodologie, l'analyste a plus de chances d'être protégé contre des résultats faux négatifs.

En plus des indicateurs de compromission intégrés, Malware Analysis prend également en charge les indicateurs de compromission écrits en langage YARA. YARA est un langage de règles qui permet aux chercheurs spécialisés d'identifier et de classer les échantillons de programmes malveillants. Cela permet aux auteurs d'IOC d'ajouter des fonctionnalités de détection à RSA Malware Analysis en créant des règles YARA et en les publiant dans RSA Live. Ces IOC basés sur YARA dans RSA Live seront automatiquement téléchargés et activés sur l'hôte abonné afin de compléter l'analyse existante qui est réalisé dans chaque fichier analysé. 

Malware Analysis possède également des caractéristiques qui prennent en charge les alertes pour Incident Management.

Présentation fonctionnelle

La figure suivante illustre la relation fonctionnelle entre les services de base (Decoder, Concentrator et Broker), le service Malware Analysis et le Serveur NetWitness.

Relationship between core services, Malware Analysis service, and the Netwitness server

Le service Malware Analysis analyse des objets de fichier en utilisant une combinaison des méthodes suivantes :

  • Rappel automatique continu d'un Concentrator ou d'un Broker pour extraire les sessions identifiées par un parser qui présentent un contenu potentiellement malveillant.
  • Rappel à la demande d'un Concentrator ou d'un Broker pour extraire les sessions identifiées par un analyste de malware qui présentent un contenu potentiellement malveillant.
  • Téléchargement de fichiers à la demande à partir d'un dossier spécifique à l'utilisateur.

Lorsque l'interrogation automatique d'un Concentrator ou d'un Broker est activée, le service Malware Analysis extrait et classe par priorité en permanence le contenu exécutable, les documents PDF et les documents Microsoft Office sur votre réseau, directement à partir de données capturées et analysées par votre service de base. Étant donné que le service Malware Analysis se connecte à un Concentrator ou un Broker pour extraire uniquement les fichiers exécutables qui sont marqués comme étant des programmes malveillants potentiels, le processus est à la fois rapide et efficace. Ce processus est continu et ne nécessite aucune surveillance.

Lorsque l'interrogation automatique d'un Concentrator ou d'un Broker est choisie, l'analyste de malware utilise Investigation pour explorer les données capturées et choisir des sessions à analyser. Le service Malware Analysis utilise ces informations pour interroger automatiquement le Concentrator ou le Broker et télécharger les sessions spécifiées en vue de leur analyse.

Le téléchargement à la demande de fichiers fournit une méthode permettant à l'analyste d'examiner des fichiers capturés externes à l'infrastructure de base. Le malware choisit un emplacement de dossier et identifie un ou plusieurs fichiers à télécharger et à faire analyser par Malware Analysis. Ces fichiers sont analysés en utilisant la même méthodologie que les fichiers extraits automatiquement de sessions de réseau. 

Méthode d'analyse

Pour l'analyse réseau, le service Malware Analysis recherche des caractéristiques qui semblent s'écarter de la norme, tout comme le fait un analyste. En consultant des centaines à des milliers de caractéristiques et en associant les résultats dans un système de notation pondéré, des sessions légitimes qui ont par coïncidence quelques caractéristiques anormales sont ignorées, alors que celles qui sont réellement incorrectes sont mises en surbrillance. Les utilisateurs peuvent apprendre des modèles qui indiquent une activité anormale dans les sessions et qui servent d'indicateurs justifiant un examen plus poussé, appelés indicateurs de compromission.

Le service Malware Analysis peut effectuer une analyse statique concernant des objets suspects qu'il trouve sur le réseau et déterminer si ces objets contiennent du code malveillant. Pour l'analyse Communauté, un nouveau programme malveillant détecté sur le réseau est poussé vers le RSA Cloud pour vérifier au regard des flux et données d'analyse de programme malveillant propres à RSA du SANS Internet Storm Center, du SRI International, du Département du Trésor et de VeriSign. Pour l'analyse Sandbox, les services peuvent également pousser des données dans des hôtes principaux de gestion des événements et des informations de sécurité (SIEM) (le ThreatGrid Cloud). 

Malware Analysis comporte une méthode d'analyse spécifique en partenariat avec des experts et des leaders du secteur dont les technologies peuvent enrichir le système de notation Malware Analysis.

Serveur NetWitnessAccédez au service Malware Analysis

Le Serveur NetWitness est configuré pour se connecter au service Malware Analysis et importer les données marquées pour être soumises à une analyse plus approfondie dans Investigation. L'accès se base sur trois niveaux d'inscription.

  • Inscription gratuite : Tous les clients NetWitness Suite bénéficient d'une inscription gratuite, avec une clé d'évaluation gratuite pour l'analyse ThreatGrid. Le service Malware Analysis est limité à 100 exemples de fichiers par jour. Le nombre d'exemples (dans le jeu de fichiers ci-dessus) soumis au ThreatGrid Cloud pour l'analyse sandbox est limité à 5 par jour. Si une session de réseau comporte 100 fichiers, les clients atteindront la limite du taux après traitement de la session de réseau unique. Si 100 fichiers ont été téléchargés manuellement, alors la limite du taux est atteinte.
  • Niveau d'inscription standard : Le nombre d'envois au service Malware Analysis est illimité. Le nombre d'exemples soumis au ThreatGrid Cloud pour une analyse sandbox est de 1 000 par jour.
  • Niveau d'inscription entreprise : Le nombre d'envois au service Malware Analysis est illimité. Le nombre d'exemples soumis au ThreatGrid Cloud pour analyse sandbox est de 5 000 par jour.

Méthode de notation

Par défaut, les Indicateurs de compromission (IOC) sont réglés pour refléter les bonnes pratiques du secteur. Pendant l'analyse, les IOC qui se déclenchent entraîne un déplacement vers le haut ou vers le bas de la note pour indiquer la probabilité que l'exemple soit malveillant. Le réglage des IOC est exposé dans NetWitness Suite afin que l'analyste du programme malveillant puisse choisir de remplacer la note attribuée ou de désactiver l'évaluation d'un IOC. L'analyste a la possibilité d'utiliser le réglage par défaut ou de personnaliser complètement le réglage selon des besoins spécifiques.

Les IOC basés sur YARA sont imbriqués dans les IOC intégrés au sein de chaque catégorie intégrée et ne sont pas distincts des IOC natifs. Lors de la visualisation des IOC dans la vue Configuration de service, les administrateurs peuvent sélectionner YARA dans la liste de sélection Module pour consulter une liste de règles YARA. 

Après qu'une session est importée dans NetWitness Suite, toutes les fonctionnalités d'affichage et d'analyse dans Investigation sont disponibles pour poursuivre l'analyse des Indicateurs de compromission. Lorsqu'ils sont consultés dans Investigation, les IOC YARA sont différenciés des IOC intégrés natifs par la balise Yara rule.

Déploiement

Le service Malware Analysis est déployé en tant qu'hôte RSA Malware Analysis distinct. L'hôte Malware Analysis dédié comporte un Broker intégré qui se connecte à l'infrastructure de base (un autre Broker ou Concentrator). Avant l'établissement de cette connexion, une collection de parsers et de feeds doit être ajoutée aux Decoders connectés aux Concentrators et aux Brokers desquels le service Malware Analysis extrait les données.  Les fichiers de données suspects peuvent ainsi être marqués en vue de leur extraction. Ces fichiers sont du contenu marqué malware analysis qui sont disponibles via le système de gestion de contenu RSA Live.

You are here
Table of Contents > Exécuter Malware Analysis > Fonctions de Malware Analysis

Attachments

    Outcomes