Enquêter : Télécharger des fichiers pour l'analyse Malware Analysis

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 3Show Document
  • View in full screen mode
 

Il existe deux méthodes permettant aux analystes de télécharger des fichiers pour l'analyse Malware Analysis.

Un analyste de malware possédant l'autorisation de Lancer une analyse Malware Analysis peut télécharger des fichiers à analyser à l'aide de l'option Analyser des fichiers dans la boîte de dialogue Sélectionner un service Malware Analysis.

Il est également possible de télécharger un fichier à analyser à l'aide d'un partage de fichiers observé.

Télécharger des fichiers manuellement

Cette rubrique fournit les instructions permettant de lancer l'analyse à la demande d'un fichier téléchargé. Lorsque vous téléchargez un fichier en vue d'une analyse, NetWitness Suite lance la tâche de téléchargement, puis l'ajoute à la file d'attente. Une fois la tâche terminée, vous pouvez consulter l'analyse dans Malware Analysis.

Pour télécharger un fichier à analyser :

  1. Accédez à ENQUÊTER > Malware Analysis.
    La boîte de dialogue Sélectionner un service Malware Analysis s'affiche. Les hôtes et services Malware Analysis disponibles pour l'utilisateur actif y sont indiqués dans le panneau de gauche.
    Select a Malware Analysis Service dialog
  2. Cliquez sur Afficher l'analyse.
    La boîte de dialogue Analyser les malwares s'affiche.
    Scan for Malware dialog
  3. Cliquez sur the add icon
    pour afficher le système de fichiers et sélectionner les fichiers à télécharger.
  4. Sélectionnez un ou plusieurs fichiers dans la liste, puis cliquez sur Ouvrir.
    Les noms de ces fichiers sont ajoutés. Avant de traiter un fichier, Malware Analysis utilise des caractères d'échappement dans le nom de ce fichier. Le nombre maximal de caractères du nom de fichier après la séquence d'échappement est 200. Si le nom de fichier contient plus de 200 caractères, Malware Analysis tronque les caractères du nom de fichier et affiche le nom de fichier tronqué dans l'interface utilisateur NetWitness Suite.
  5. Continuez à ajouter et à supprimer des fichiers jusqu'à ce que vous ayez établi la liste des fichiers à télécharger.
  6. Attribuez un nom à l'analyse, puis sélectionnez les types de fichiers à ignorer. Cette possibilité est particulièrement utile pour les archives zip qui contiennent différents types de fichier et écrase les paramètres de contournement par défaut.
  7. Cliquez sur Analyser.
    La tâche d'analyse est envoyée et NetWitness Suite affiche un message de confirmation indiquant que l'envoi a été effectué correctement. La demande d'analyse est ajoutée au dashlet Liste des tâches d'analyse. Les paramètres de contournement de cette boîte de dialogue remplacent les paramètres par défaut dans les paramètres de configuration Malware Analysis de base.
  8. La tâche est ajoutée à la liste des tâches d'analyse dans la boîte de dialogue Sélectionner un service Malware Analysis et dans le dashlet Liste des tâches d'analyse du tableau de bord unifié.
  9. Lorsque l'analyse est terminée, double-cliquez dessus pour la consulter.
    Le Récapitulatif des événements de malware pour l'analyse sélectionnée s'affiche.

Télécharger des fichiers à partir d'un dossier de suivi

Pour télécharger des fichiers à partir d'un dossier surveillé, vous pouvez déposer des fichiers dans un partage de fichiers surveillé pour Malware Analysis. Les analystes peuvent partager les règles YARA, les fichiers de hachage et les archives au format zip infectées avec Malware Analysis.

Malware Analysis surveille un partage de fichiers et utilise automatiquement les fichiers placés dans des dossiers spécifiques dans le partage de fichiers. Cette fonctionnalité est utile pour :

  • Importer en bloc des fichiers de hachage à partir de /var/lib/rsamalware/spectrum/hashWatch.
  • Ajouter des règles personnalisées YARA à la liste des indicateurs de compromission (IOC) sur l'hôte à partir de /var/lib/rsamalware/spectrum/yara/watch.
  • Créer des tâches d'analyse à la demande à partir d'une archive zip de fichiers zip infectés, à partir de /var/lib/rsamalware/spectrum/infectedZipWatch/watch.

Les analystes doivent préparer les fichiers pour l'utilisation en fonction des exigences ; l'extension du fichier doit être correcte et le fichier doit être copié dans le dossier surveillé approprié dans le partage de fichiers.

Importer une liste de hachage

Pour importer une liste de hachage à partir d'un répertoire surveillé, la liste de hachage doit être au format spécifié et doit être triée selon md5. Vous pouvez faire glisser un fichier au format spécifié dans un dossier (/var/lib/rsamalware/spectrum/hashWatch) stocké sur l'hôte Malware Analysis pour qu'il soit importé automatiquement dans la base de données de hachage locale. La procédure à utiliser est décrite dans « Configurer le filtre de hachage » dans le Guide de Configuration de Malware Analysis.

Pour importer une liste de hachage à l'aide de la méthode du dossier surveillé :

  1. Dans le répertoire /var/lib/rsamalware/spectrum/hashWatch , copiez les listes de hachage que vous souhaitez importer.
    NetWitness Suite Malware Analysis surveille automatiquement ce dossier et traite les fichiers qui y sont placés.
    1. Malware Analysis ajoute chaque hachage trouvé dans les listes de hachage au filtre de hachage.
    2. En cas d'erreurs de traitement, la consignation s'effectue dans : /var/lib/rsamalware/spectrum/hashWatch/error
    3. Les fichiers traités sont catalogués ici : /var/lib/rsamalware/spectrum/hashWatch/processed
    4. Les fichiers traités ne sont pas supprimés du répertoire hashWatch.
  2. Après l'importation du hachage en bloc, l'administrateur système peut utiliser cronjob pour nettoyer les fichiers traités précédemment.

Importer les règles YARA vers la liste IOC

Les clients ayant des compétences et des connaissances avancées peuvent ajouter des capacités de détection à RSA Malware Analysis en créant des règles YARA et en les publiant dans RSA Live ou en les plaçant dans un dossier surveillé pour que l'hôte les utilise. La rubrique Implémenter du contenu YARA personnaliséfournit des informations détaillées sur les conditions requises pour utiliser un contenu YARA personnalisé et créer des règles.

Lorsque les règles sont prêtes, placez les fichiers YARA personnalisés dans le dossier que le service Malware Analysis surveille :
/var/lib/rsamalware/spectrum/yara/watch
Le fichier est utilisé en une minute.
Ensuite, NetWitness Suite déplace le fichier vers le dossier processed, et la nouvelle règle est ajoutée à la vue Configuration du service Malware Analysis > onglet Indicateurs de compromission.

YARA-IOC.png

Importer des fichiers dans la liste des tâches d'analyse

Lorsque vous obtenez des exemples issus des solutions de sécurité du périmètre et que vous souhaitez effectuer une analyse approfondie des fichiers, vous pouvez compresser les fichiers et protéger l'archive avec infected, avant de l'ajouter au dossier surveillé pour que Malware Analysis la traite. Cette archive compressée est prête à être placée dans le dossier surveillé: /var/lib/rsamalware/spectrum/infectedZipWatch/watch.

Remarque : La taille maximale de l'archive est de 100 Mo.

Pour analyser les fichiers zip infectés protégés par mot de passe, Malware Analysis utilise les archives dans un dossier surveillé et crée une tâche à la demande qui est ajoutée à la liste des tâches d'analyse.

  1. En étant connecté en tant qu'administrateur, compressez les fichiers à traiter avec le mot de passe infected et placez le fichier zip dans /var/lib/rsamalware/spectrum/infectedZipWatch/watch
    En une ou deux minutes, Malware Analysis utilise l'archive et crée une tâche à la demande dans la liste des tâches d'analyse. Le nom de la tâche d'analyse correspond au nom du fichier, l'utilisateur correspond à partage de fichiers et le type d'événement correspond à 1. L'archive est déplacée dans /var/lib/rsamalware/spectrum/infectedZipWatch/processed
  2. Lorsque la tâche est ajoutée à la liste des tâches d'analyse, exécutez un script ou cronjob pour nettoyer le fichier zip dans /var/lib/rsamalware/spectrum/infectedZipWatch/processed.
You are here
Table of Contents > Exécuter Malware Analysis > Télécharger des fichiers pour l'analyse Malware Analysis

Attachments

    Outcomes