Lorsque vous avez un doute sur un fichier ou vous souhaitez connaître les modifications effectués par un
malware, il est possible d’utiliser des systèmes automatisées qui analyse le comportement d’un exécutable.
Il existe plusieurs services gratuits dont Hybrid Analysis qui
permettent de jouer l’exécutables et proposer un rapport d’analyses du
comportement et modifications effectuées sur le système d’exploitation.
Voici une présentation du fonctionnement de Hybrid Analysis.
Hybrid Analysis : Analyser le comportement et modifications d’un exécutable
Principe de fonctionnement
Le principe de fonctionnement est assez simple.
Vous envoyez un exécutable, ce dernier va être joué dans un environnement virtualisé.
Le système va analyser et enregistrer les opérations effectuées par le
fichier durant son exécution comme les créations de fichiers, les
connexions réseaux établies etc.
En outre, une analyse statistiques du fichier est faites (langage, import, etc).
Un rapport est généré avec l’analyse complète consultable depuis le site Hybrid Analysis.
Il est aussi possible de rendre l’analyse publique et trouver d’autres analyses de fichiers notamment à travers
le hash d’un fichier.
Enfin, sachez que la plupart des malwares sont envoyés de manière automatisés à ce service, comme c’est le cas notamment de
VirusTotal.
Présentation d’Hybrid Analysis
La page du site d’hybrid Analysis est :
https://www.hybrid-analysis.com
En haut à droite, vous pouvez régler la langue en français.
Ce dernier se présente sous la forme d’un formulaire où vous devez téléverser le fichier à examiner.
Remplissez le
captcha et indiquer la version de Windows, par défaut Windows 7 32-bits
Indiquez votre mail, si vous souhaitez être averti quand l’analyse est terminée.
Cochez la case pour accepter les conditions d’utilisation :
I consent to the Terms & Conditions and Data Protection Policy.
Enfin pour lancer l’analyse cliquez sur Genérer un rapport public
L’analyse débute alors, le fichier est soumis à d’autre service dont VirusTotal avec les résultats.
Une roue crantée tourne pendant que l’analyse comportementale s’effectue.
Certains services peuvent être visualisés depuis le site sinon à ouvrir dans un nouvel onglet.
Lorsque l’analyse comportementale est terminée, vous obtenez alors l’encart ci-dessous.
Des notes de malwares, suspicion ou informative sont indiquées.
Au final, un score est donné (Threat Score) qui peut indiquer s’il s’agit d’un malware ou non.
Le contenu de l’analyse
Voici le contenu de l’analyse qui se présente avec des indicateurs puis les informations sur le comportement.
Le sommaire se trouve à droite.
La
première partie indicateurs classés en trois : des indicateurs de
comportements de malwares, des indicateurs suspicieux et enfin
informatifs.
puis
les détails du fichier avec les informations basiques du fichier
(tailles, hash, etc), les ressources embarquées dans le fichier et des
analyses TrInfo.
La seconde partie concernant les imports effectuées par le fichier.
On retrouve la plupart de ces informations dans VirusTotal aussi.
Ensuite des captures d’écran sont données dans le cas où le fichier ouvre des fenêtres, changent le fond d’écran etc.
Une partie analyses avec les actions au niveau processus est donnée.
En cliquant sur le processus, on peut récupérer les mutex, les appels API, fichiers ouverts, etc.
A
noter que ci-dessous la chaîne d’exécution est incomplète, l’exécution
se coupe très tôt alors qu’on affaire à un installeur PUP.
Enfin une analyses réseaux avec les connexions effectuées et notamment les URLs, DNS contactées et ensuite donnée.
L’analyse réseau fournit aussi une carte avec les pays contactés.
puis les strings (textes) en mémoire sont énumérées.
Par exemple, ci-dessous, on voit qu’il s’agit d’un
ransomware.
Limites et alternatives
Ces systèmes d’analyses possèdent toutefois des limites.
Le malware est exécuté dans un environnement virtualisé, cet environnement peut-être détecté au début de l’exécution.
Un test peut faire stopper l’exécution du malware lorsque cet environnement est détecté (exit).
A partir de là, impossible d(obtenir une analyse complète des actions effectuées par le
malware.
On peut aussi facilement empếcher l’exécution du malware en demandant un paramètre particulier lors de l’appel de celui-ci.
Par exemple, les malwares en DLL qui se lancent avec
rundll32.exe ou
regsrv32.exe ont souvent besoin d’un paramètre.
Or lors de l’exécution dans Hybrid Analyses, vous ne pouvez pas
spécifier ce dernier (encore faut-il le connaître), ainsi donc le
malware ne s’exécutera pas entièrement.
Enfin,
on peut aussi demander une action comme cliquer sur un bouton, ce que
le système risque de ne pas savoir faire de manière automatique.
Enfin
il existe d’autres alternative comme malwr.com ou encore VirusTotal qui
fournit une analyse comportementale, on en parle sur ce lien :
VirusTotal : Comment visualiser le comportement et activité d’un malware
REF.: