Avec l’émergence des malwares polymorphes, les entreprises ont fait le constat que les capacités des outils de détection traditionnels avaient nettement diminué. Les techniques basées sur les mécanismes de comparaison d’empreintes sont devenues aujourd’hui inefficaces face à une apparition quotidienne de plus de 450 000 nouveaux malwares. Pour pouvoir détecter les menaces sophistiquées, connues et inconnues, les analystes en Cyber Threat Intelligence ne s’appliquent plus à analyser chaque spécimen unitairement mais développent des techniques d’investigation pour en définir un fonctionnement global, une vision macro. Cette étape reste néanmoins chronophage et ne permet pas de pouvoir adresser un grand nombre de fichiers en même temps. Alors comment réduire le temps passé sur une investigation ?
Pour ce faire, les analystes doivent faire évoluer leur méthode de travail, en s’appuyant notamment sur l’intelligence artificielle. Explications.
Les enjeux de l’investigation de malware.
L’investigation d’un logiciel malveillant repose sur deux méthodes principales d’analyses, l’une dynamique et l’autre statique.
L’investigation dite dynamique a pour but d’analyser le fonctionnement d’un fichier en conditions réelles. En exécutant ce dernier dans un environnement étanche et sécurisé (sandbox), l’analyste peut changer les paramètres d’entrée, modifier l’horloge interne du système d’exploitation ou l’ouverture d’un fichier comme une macro Excel dans le but de faire détoner la charge utile du malware. Cette démarche est intéressante car elle permet d’évaluer l’impact de l’exécution dans un environnement fermé.
L’investigation dite statique quant à elle s’apparente plutôt à une analyse manuelle, ce que tout analyste caractériserait de rétro-ingénierie sans exécuter le fichier. Cette méthode a pour but d’analyser le contenu interne du fichier compilé afin de « comprendre son but, comment il fonctionne et avec quelles ressources du système d’exploitation il a besoin d’interagir ».
La possibilité d’effectuer une analyse statique et dynamique sur un malware apporte une finesse d’investigation comme le souligne Sylvio Hoarau, Analyste malware CTI chez GLIMPS.
L’investigation de malware doit permettre « d’extraire des indicateurs de compromission, des éléments caractéristiques d’une infection qu’ils soient placés en début, au milieu ou à la fin de la chaîne d’attaque ». Téléchargement initial, installation en profondeur dans le système d’exploitation, exfiltration de données, éléments de configuration, ces données « sont corrélées puis contextualisés dans le but d’en déduire un fonctionnement à un niveau macro ». C’est par ce travail d’analyse qu’il est ensuite possible d’apporter des conclusions comme la définition de la nature de l’attaque (opportuniste ou ciblée) ou si le mode opératoire est spécifique au secteur de l’entreprise victime.
En raison d’un délai de mise en oeuvre plus importante, l’analyse dynamique se veut être « une analyse de vérification pour une levée de doute » qui se fait dans un second temps, le plus souvent dans une phase post-mortem, à la suite de la compromission. Elle n’est cependant pas parfaite, puisqu’elle comporte des limites dans son fonctionnement permettant aux malwares évolués de détecter puis de contourner les environnements de sandbox. L’investigation par analyse statique sera le plus souvent privilégiée du fait de son automatisation et de son coût modéré.
Les contraintes de l’analyse dynamique.
Pour pouvoir démarrer une analyse dynamique, l’analyste se doit de « recréer un environnement de travail en installant une série d’outils qu’il doit utiliser pour effectuer différentes actions allant de la désobfuscation d’un fichier à l’extraction d’indicateurs de compromission (IoC) ». Même si cette étape peut être semi-automatisée à l’aide d’un script de déploiement, elle peut demander plusieurs heures de travail qu’il faut sans cesse recommencer à chaque début de projet. Une contrainte de temps qui ne permet pas à l’analyste de pouvoir adresser un contexte d’attaque en temps réel.
L’apport de l’intelligence artificielle dans la réduction du temps d’investigation.
Pour répondre à cette problématique, la société GLIMPS a développé la solution GLIMPS Malware. Basée sur des algorithmes d’intelligences artificielles, GLIMPS Malware n’agit pas selon Sylvio Hoarau comme « un outil de décompilation classique » mais possède la capacité de déduire les fonctionnalités principales de l’exécutable de manière statique et automatisée. En s’appuyant sur une base de données de plusieurs millions de malwares et fort de l’analyse quotidienne de plusieurs milliers de payloads, cette méthode d’analyse par conceptualisation du code ou concept-code, permet de comparer des points communs et modes opératoires et ainsi d’isoler les fichiers potentiellement malveillants.
Pour Sylvio Hoarau, la force de cette technologie réside « dans sa capacité à identifier rapidement des concept-code. GLIMPS Malware ne décompile pas le payload, mais interprète ses fonctionnalités compilées ». Un gain de temps considérable pour l’analyse CTI qui peut s’appuyer sur les indicateurs de la plateforme : « Du fait de l’entraînement quotidien de la plateforme, l’IA est capable de fournir des indicateurs sur les concept-codes présents dans le fichier incriminé. À partir de cette information nous pouvons en déduire si ceux-ci se retrouvent dans des malwares préalablement identifiés dans la base de références. »
L’intelligence artificielle apporte un gain de temps et un ROI immédiat.
En évitant d’effectuer une analyse en profondeur, la conceptualisation du code apporte un gain de temps considérable. « Au-delà de la phase de préparation de l’environnement de travail, l’analyse statique de cette technologie permet de fournir un résultat en quelques secondes ». Une prouesse technique qui s’explique par un changement de paradigme selon Sylvio Hoarau : « Le but de cette méthode d’analyse n’est plus de certifier qu’un fichier est à 100% malveillant, mais plutôt de se baser sur un scoring dont l’échelle peut aller de potentiellement malveillant à malveillant. En détectant des concept-codes parmi les fonctionnalités, on abonde le score et on en déduit le degré de dangerosité de l’exécutable. De ce fait, la durée d’analyse est drastiquement réduite et l’analyste CTI peut traiter beaucoup plus de fichiers qu’il n’aurait pu le faire avec une méthode d’analyse manuelle classique ». Dans un contexte de forte demande des profils d’expert en cybersécurité, l’utilisation de cette technologie permet à l’analyste de se recentrer sur les actions à hautes valeurs ajoutées.
La conceptualisation du code apporte une réponse à la détection de malwares polymorphes.
L’autre apport significatif de cette technologie est celui de la détection de variants polymorphes avant même qu’ils soient intégrés aux bases de signatures antivirales. Par exemple, du fait du portage d’un système d’exploitation à l’autre, un malware change son empreinte numérique comme le souligne Sylvio Hoarau : « C’est un cas fréquent sur des ransomwares qui ont été développés sur les plateformes Microsoft Windows et Linux. Les fichiers binaires et les signatures sont différents. Nous retrouvons néanmoins des fonctionnalités embarquées dans le binaire comme des fonctions de chiffrement ou d’écriture sur le disque. Des éléments que le Deep Engine de GLIMPS Malware saura détecter et identifier ». Une capacité technologique qui fait consensus, puisque des solutions EDR du marché intègrent aujourd’hui GLIMPS Malware à leur arsenal de détection comme c’est le cas avec l’EDR de la société Harfang Lab.
En conclusion
Avec la forte adoption de l’intelligence artificielle offensive, le volume de malwares polymorphes créé quotidiennement devrait continuer de croître. Seules des technologies capables d’analyser en quelques secondes ces variants pourront apporter un niveau de détection adéquat. Si vous voulez découvrir la technologie GLIMPS Malware, n’hésitez pas à contacter un membre de notre équipe pour une démonstration : demo@glimps.re