MA : Comment fonctionne Malware Analysis

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness Suite Malware Analysis est un processeur automatisé d'analyse de malware, conçu pour analyser certains types d'objets fichiers (par exemple, Windows portable executable (PE), PDF et MS Office) afin d'évaluer la probabilité de leur malveillance. 

Malware Analysis détecte des indicateurs de compromission en utilisant quatre méthodologies distinctes d'analyse :

  • Analyse de session de réseau (réseau)
  • Analyse de fichier statique (statique)
  • Analyse de fichier dynamique (sandbox)
  • Analyse de communauté de sécurité (communauté)

Chacune des quatre méthodologies distinctes d'analyse est conçue pour compenser toutes faiblesses inhérentes aux autres. Par exemple, Analyse de fichier dynamique peut compenser des attaques de type Zero-Day qui ne sont pas détectées pendant la phase Analyse de communauté de sécurité. En évitant l'analyse de programme malveillant qui se concentre strictement sur une méthodologie, l'analyste a plus de chances d'être protégé contre des résultats faux négatifs.

En plus des indicateurs de compromission intégrés, Malware Analysis prend également en charge les indicateurs de compromission écrits en langage YARA. YARA est un langage de règles qui permet aux chercheurs spécialisés d'identifier et de classer les échantillons de programmes malveillants. Cela permet aux auteurs d'IOC d'ajouter des fonctionnalités de détection à RSA Malware Analysis en créant des règles YARA et en les publiant dans RSA Live. Ces IOC basés sur YARA dans RSA Live seront automatiquement téléchargés et activés sur l'hôte abonné afin de compléter l'analyse existante qui est réalisé dans chaque fichier analysé. 

Malware Analysis possède également des caractéristiques qui prennent en charge les alertes pour Incident Management.

Présentation fonctionnelle

La figure suivante illustre la relation fonctionnelle entre les services de base (Decoder, Concentrator et Broker), le service Malware Analysis et le Serveur NetWitness.

Relation entre le serveur de Netwitness, le service Malware Analysis et les services de base

Le service Malware Analysis analyse des objets de fichier en utilisant une combinaison des méthodes suivantes :

  • Rappel automatique continu d'un Concentrator ou d'un Broker pour extraire les sessions identifiées par un parser qui présentent un contenu potentiellement malveillant.
  • Rappel à la demande d'un Concentrator ou d'un Broker pour extraire les sessions identifiées par un analyste de malware qui présentent un contenu potentiellement malveillant.
  • Téléchargement de fichiers à la demande à partir d'un dossier spécifique à l'utilisateur.

Lorsque l'interrogation automatique d'un Concentrator ou d'un Broker est activée, le service Malware Analysis extrait et classe par priorité en permanence le contenu exécutable, les documents PDF et les documents Microsoft Office sur votre réseau, directement à partir de données capturées et analysées par votre service de base. Étant donné que le service Malware Analysis se connecte à un Concentrator ou un Broker pour extraire uniquement les fichiers exécutables qui sont marqués comme étant des programmes malveillants potentiels, le processus est à la fois rapide et efficace. Ce processus est continu et ne nécessite aucune surveillance.

Lorsque l'interrogation automatique d'un Concentrator ou d'un Broker est choisie, l'analyste de malware utilise Investigation pour explorer les données capturées et choisir des sessions à analyser. Le service Malware Analysis utilise ces informations pour interroger automatiquement le Concentrator ou le Broker et télécharger les sessions spécifiées en vue de leur analyse.

Le téléchargement à la demande de fichiers fournit une méthode permettant à l'analyste d'examiner des fichiers capturés externes à l'infrastructure de base. Le malware choisit un emplacement de dossier et identifie un ou plusieurs fichiers à télécharger et à faire analyser par Malware Analysis. Ces fichiers sont analysés en utilisant la même méthodologie que les fichiers extraits automatiquement de sessions de réseau. 

Méthode d'analyse

Pour l'analyse réseau, le service Malware Analysis recherche des caractéristiques qui semblent s'écarter de la norme, tout comme le fait un analyste. En consultant des centaines à des milliers de caractéristiques et en associant les résultats dans un système de notation pondéré, des sessions légitimes qui ont par coïncidence quelques caractéristiques anormales sont ignorées, alors que celles qui sont réellement incorrectes sont mises en surbrillance. Les utilisateurs peuvent apprendre des modèles qui indiquent une activité anormale dans les sessions et qui servent d'indicateurs justifiant un examen plus poussé, appelés indicateurs de compromission.

Le service Malware Analysis peut effectuer une analyse statique concernant des objets suspects qu'il trouve sur le réseau et déterminer si ces objets contiennent du code malveillant. Pour l'analyse Communauté, un nouveau programme malveillant détecté sur le réseau est poussé vers le RSA Cloud pour vérifier au regard des flux et données d'analyse de programme malveillant propres à RSA du SANS Internet Storm Center, du SRI International, du Département du Trésor et de VeriSign. Pour l'analyse Sandbox, les services peuvent également pousser des données dans des hôtes principaux de gestion des événements et des informations de sécurité (SIEM) (le ThreatGrid Cloud). 

Malware Analysis comporte une méthode d'analyse spécifique en partenariat avec des experts et des leaders du secteur dont les technologies peuvent enrichir le système de notation Malware Analysis.

Serveur NetWitnessAccédez au service Malware Analysis

Le Serveur NetWitness est configuré pour se connecter au service Malware Analysis et importer les données marquées pour être soumises à une analyse plus approfondie dans Investigation. L'accès se base sur trois niveaux d'inscription.

  • Inscription gratuite : Tous les clients NetWitness Suite bénéficient d'une inscription gratuite, avec une clé d'évaluation gratuite pour l'analyse ThreatGrid. Le service Malware Analysis est limité à 100 exemples de fichiers par jour. Le nombre d'exemples (dans le jeu de fichiers ci-dessus) soumis au ThreatGrid Cloud pour l'analyse sandbox est limité à 5 par jour. Si une session de réseau comporte 100 fichiers, les clients atteindront la limite du taux après traitement de la session de réseau unique. Si 100 fichiers ont été téléchargés manuellement, alors la limite du taux est atteinte.
  • Niveau d'inscription standard : Le nombre d'envois au service Malware Analysis est illimité. Le nombre d'exemples soumis au ThreatGrid Cloud pour une analyse sandbox est de 1 000 par jour.
  • Niveau d'inscription entreprise : Le nombre d'envois au service Malware Analysis est illimité. Le nombre d'exemples soumis au ThreatGrid Cloud pour analyse sandbox est de 5 000 par jour.

Méthode de notation

Par défaut, les Indicateurs de compromis (IOC) sont réglés pour refléter les bonnes pratiques du secteur. Pendant l'analyse, les IOC qui se déclenchent entraîne un déplacement vers le haut ou vers le bas de la note pour indiquer la probabilité que l'exemple soit malveillant. Le réglage des IOC est exposé dans NetWitness Suite afin que l'analyste du programme malveillant puisse choisir de remplacer la note attribuée ou de désactiver l'évaluation d'un IOC. L'analyste a la possibilité d'utiliser le réglage par défaut ou de personnaliser complètement le réglage selon des besoins spécifiques.

Les IOC basés sur YARA sont imbriqués dans les IOC intégrés au sein de chaque catégorie intégrée et ne sont pas distincts des IOC natifs. Lors de la visualisation des IOC dans la vue Configuration de service, les administrateurs peuvent sélectionner YARA dans la liste de sélection Module pour consulter une liste de règles YARA. 

Après qu'une session est importée dans NetWitness Suite, toutes les fonctionnalités d'affichage et d'analyse dans Investigation sont disponibles pour poursuivre l'analyse des Indicateurs de compromis. Lorsqu'ils sont consultés dans Investigation, les IOC YARA sont différenciés des IOC intégrés natifs par la balise Yara rule.

Déploiement

Le service Malware Analysis est déployé en tant qu’hôte RSA Malware Analysis distinct. L'hôte Malware Analysis dédié comporte un Broker intégré qui se connecte à l'infrastructure de base (un autre Broker ou Concentrator). Avant l'établissement de cette connexion, une collection de parsers et de feeds doit être ajoutée aux Decoders connectés aux Concentrators et aux Brokers desquels le service Malware Analysis extrait les données.  Les fichiers de données suspects peuvent ainsi être marqués en vue de leur extraction. Ces fichiers sont du contenu marqué malware analysis qui sont disponibles via le système de gestion de contenu RSA Live.

Modules de scores

RSA NetWitness Suite Malware Analysis analyse et donne des scores aux sessions et fichiers intégrés à ces sessions selon quatre catégories d'évaluation : Réseau, Analyse statique, Communauté et Sandbox. Chaque catégorie comprend de nombreuses règles et vérifications individuelles qui sont utilisées pour calculer un score entre 1 et 100. Plus le score est élevé, plus la session est susceptible d'être malveillante et devrait faire l'objet d'une investigation de suivi plus approfondie.

Malware Analysis peut faciliter l'investigation sur l'historique des événements qui ont abouti à une alarme ou un incident réseau. Si vous savez qu'un certain type d'activité se produit sur votre réseau, vous pouvez sélectionner uniquement les rapports présentant un intérêt afin de passer en revue le contenu des collections de données. Vous pouvez également modifier le comportement de chaque catégorie d'évaluation en fonction de la catégorie ou du type de fichiers (Windows PE, PDF et Microsoft Office).

Une fois familiarisé avec les méthodes de navigation au sein des données, vous pouvez explorer les données de manière plus exhaustive via :

  • La recherche de types spécifiques d'informations
  • L'examen détaillé de contenu spécifique

Les scores des catégories Réseau, Analyse statique, Communauté et Sandbox font l'objet d'une maintenance et d'un reporting de manière indépendante. Lorsque les événements sont affichés en fonction des scores indépendants et qu'une catégorie détecte des malware, cela apparaît dans la section Analyse.

Réseau 

La première catégorie examine chaque session de réseau principal afin de déterminer si la livraison des candidats malveillants était suspecte. Par exemple, le téléchargement d'un logiciel bénin depuis un site sécurisé et connu, à l'aide des ports et protocoles adéquats, est considéré comme moins suspect que le téléchargement d'un logiciel connu pour être malveillant, à partir d'un site de téléchargement douteux. Les facteurs d'échantillon utilisés pour l'évaluation de cet ensemble de critères peuvent comprendre des sessions qui :

  • contiennent des informations sur la source de menace ;
  • se connectent à des sites malveillants connus ;
  • se connectent à des domaines/pays à haut risque (par exemple, un domaine .cc) ;
  • utilisent des protocoles connus sur des ports non standard ;
  • contiennent du JavaScript obscurci.

Analyse statique

La seconde catégorie analyse chaque fichier de la session à la recherche de signes s'obscurcissement afin de prédire la probabilité qu'un fichier se comporte de manière malveillante s'il est exécuté. Par exemple, un logiciel lié à des bibliothèques réseau est plus susceptible de présenter une activité réseau suspecte. Les facteurs d'échantillon utilisés pour l'évaluation de cet ensemble de critères peuvent comprendre :

  • des fichiers qui s'avèrent chiffrés XOR ;
  • des fichiers qui s'avèrent intégrés dans des formats autres que EXE (par exemple, un fichier PE intégré dans un format GIF) ;
  • des fichiers liés à des bibliothèques d'importation à plus hauts risques ;
  • des fichiers s'inspirant fortement du format PE.

Communauté

La troisième catégorie évalue la session et les fichiers basés sur les connaissances collectives de la communauté de la sécurité. Par exemple, l'évaluation peut se baser sur la réputation de fichiers dont l'empreinte et le hachage sont déjà connus par des fournisseurs respectés d'antivirus. L'évaluation des fichiers se base aussi sur la connaissance de la communauté de la sécurité sur le site d'origine du fichier.

L'évaluation de la communauté indique aussi si l'antivirus de votre réseau a signalé les fichiers comme malveillants. Elle n'indique pas si le produit antivirus local a pris des mesures pour protéger votre système.

Sandbox

La quatrième catégorie s'attache au comportement du logiciel en l'exécutant dans un environnement sandbox. Lors de l'exécution du logiciel pour analyser son comportement, le score est calculé en identifiant une activité malveillante connue. Par exemple, un logiciel qui se configure pour se lancer automatiquement à chaque redémarrage et établir des connexions IRC présentera un score plus élevé qu'un fichier sans comportement malveillant.

Rôles et autorisations pour les analystes

Cette rubrique identifie les rôles d'utilisateur et les autorisations nécessaires pour qu'un utilisateur effectue une analyse de malware dans NetWitness Suite. Si vous ne pouvez pas réaliser de tâche d'analyse ou afficher une vue, il se peut que l'administrateur doive ajuster les rôles et autorisations configurés pour vous.

Rôles et autorisations nécessaires

RSA NetWitness Suite gère la sécurité en autorisant l'accès aux vues et fonctions au moyen d'autorisations système et d'autorisations sur les différents services.

Au niveau du système, l'utilisateur doit être associé à un rôle système dans la vue Administration > Système pour pouvoir accéder à certaines vues et fonctions.

Dans NetWitness Suite 11.0, le rôle Malware_Analysts par défaut est attribué à toutes les autorisations ci-dessous. Si nécessaire, un administrateur peut créer un rôle personnalisé combinant plusieurs des autorisations suivantes :

  • Accéder au module Investigation (obligatoire)
  • Investigation - Parcourir les événements
  • Investigation - Parcourir les valeurs
  • Accéder au module Incident
  • Afficher et gérer les incidents
  • Afficher les événements de malware (pour consulter les événements)
  • Téléchargement de fichiers (pour télécharger des fichiers à partir du service Malware Analysis)
  • Lancer une analyse de malware (pour lancer une analyse de service ou un téléchargement de fichier unique)
  • Autorisations de dashlet pour des questions pratiques : Dashlet - Dashlet Valeurs principales d'investigation, Dashlet - Dashlet Liste des services d'investigation, Dashlet - Dashlet Tâches d'investigation, Dashlet - Dashlet Raccourcis d'investigation.

Vous pouvez par exemple créer le rôle personnalisé Analyste du malware Junior et l'associer à des autorisations limitées excluant l'autorisation Téléchargement de fichiers.

Pour certains services, un analyste du malware doit être membre du groupe Analystes ou d'un groupe disposant des deux autorisations associées par défaut au groupe Analyste : sdk.meta et sdk.content. Les utilisateurs disposant de ces autorisations peuvent se servir d'applications spécifiques, lancer des requêtes et afficher des contenus à des fins d'analyse du service.

You are here
Table of Contents > Fonctionnement de Malware Analysis

Attachments

    Outcomes