Que faire lorsque l’un de vos collaborateur reçoit par email d’étranges pièces jointes PDF ? Ou qu’un obscur site web tente de déposer des petits cadeaux empoisonnés à chaque visite de vos utilisateurs ? Ce n’est pas parce que l’antivirus ne dit rien qu’il n’y a rien à voir. Témoins les récentes attaques ciblées contre Bercy, RSA et d’autres entreprises dans les domaines de l’énergie ou de la Défense. Dans tous les cas, des codes malveillants personnalisés étaient à l’oeuvre. Et contrairement à ce que l’on pourrait croire ceux-ci ne sont pas obligatoirement très sophistiqués : leur objectif est plutôt de se fondre dans la masse et de ne présenter aucune similitude avec un virus déjà répertorié.

Face à une telle situation votre premier réflexe devrait être de soumettre gratuitement l’échantillon au site VirusTotal, où 42 antivirus du marché vont examiner le binaire suspect en ligne. S’ils ne trouvent rien, vous aurez au moins la certitude que votre antivirus n’est pas à la traîne. En outre la plupart de ces produits procéderont également à une analyse heuristique capable d’identifier une variante encore inconnue d’une famille, elle, déjà connue.

S’il n’y a toujours rien mais que soupçonnez tout de même un code malveillant, vous pouvez bien entendu transmettre ces échantillons à l’éditeur de votre solution antivirus. Mais selon sa disponibilité, ou la nature de votre contrat de support, sa réponse peut se faire attendre.

Dans ce cas, comme dit le proverbe, on n’est jamais mieux servi que par soi-même ! Et ça tombe bien, car il existe une multitude d’outils et de services destinés à analyser un binaire inconnu afin de déterminer s’il s’agit ou non d’un malware. La plupart ne traitent que les binaires pour Windows, mais certain sont également capables d’aller visiter un site web (afin d’analyser d’éventuels drive-by downloads) et d’autres se spécialisent dans l’analyse de code Javascript, d’objets Flash ou de documents PDF.

Certains de ces outils sont gratuits, et ils sont très efficaces pour analyser manuellement des binaires suspects. Les outils commerciaux, eux, sont plutôt destinés aux équipes des CERT internes de grandes entreprises, ou aux clients soucieux de se prémunir contre les attaques ciblées (et prêts à s’en donner les moyens !).

Ces outils commerciaux ne diffèrent pas grandement de l’offre gratuite en matière d’analyse : l’on y retrouve l’analyse des API, DLL, processus, fichiers, clés de registre et autres threads créés, modifiés ou accédés durant l’exécution. En revanche ils se distinguent sur la partie réseau, où ils sont capables de déterminer les ressources que le binaire va chercher, les serveurs qu’il tente de contacter, etc… et dans certains cas de les lui fournir. Ils se distinguent également par leur capacité d’intégration à d’autres solutions (via leur API ou un SDK) ou d’analyse automatique en batch, afin d’être utilisés dans le cadre d’un processus formel en entreprise (par exemple en analysant tous les documents PDF entrants).

Les gratuits

Malware Analyser. Un outil local capable de détecter les codes packés, et d’indiquer les manipulation de la base de registre, les DLL Windows utilisées, le recours à des commandes IRC, etc. L’outil est capable de désassembler les exécutables au format PE et de présenter en détail toutes leurs sections, les symboles, etc… Il offre également la possibilité de générer une signature de l’exécutable. Enfin, il réalise automatiquement une pré-analyse en ligne via VirusTotal, afin de ne pas perdre de temps à analyser un malware déjà répertorié.
> Le site web de Malware Analyser.

Anubis. Un service en ligne destiné à l’analyse des binaires. Le rapport livré par Anubis (HTML, PDF, XML…) indiquera les DLL requises au moment du chargement (loadtime) et l’exécution (runtime) de l’échantillon. Il dévoilera également les clés de registres et les fichiers manipulés (créés, modifiés, lus). Anubis révèlera aussi les fichiers mapés en mémoire, les processus (et les threads) lancés et même les zones mémoire étrangères auquel le binaire tente d’accéder (appartenant à d’autres processus fils). Il indiquera enfin les éventuels mutex créés et les exceptions générées. Le tout sera répété pour chaque processus lancé par l’échantillon.
> Le site web d’Anubis.

Wepawet. Du même éditeur qu’Anubis, Wepawet est un service en ligne destiné à l’analyse des documents PDF, des objets Flash et des codes Javascript. Il diffère cependant quant à son fonctionnement. Là où Anubis (et les autres outils de sa catégorie) permettent réellement d’analyser le comportement d’un code inconnu afin de déterminer s’il est malveillant ou non, Wepawet se contente de rechercher des exploits connus embarqués dans des objets web. Il sera donc en mesure d’indiquer que tel document PDF exploite telle vulnérabilité connue du lecteur d’Adobe, ou que tel code Javascript tente d’installer tel ou tel exploit connu pour les navigateurs. Mais il ne permettra pas d’identifier de nouveaux exploits. Il demeure néanmoins un service essentiel dans la boîte à outil de l’analyste.
> Le site web de Wepawet

Les commerciaux

Norman SandBox Analyser. A tout seigneur tout honneur, Norman est un expert de l’analyse heuristique depuis de nombreuses années. Son moteur est désormais disponible localement ou via un abonnement en ligne, pour l’analyse des binaires suspects. Outre les contrôles habituels, Sandbox Analyser émule le réseau et fournit au malware les ressources en ligne dont il aurait besoin. La solution offre un SDK pour l’intégration du moteur à un produit tiers, et une API afin d’exporter les résultats vers un backoffice existant. Approche originale : il permet de prendre en compte le temps dans la stratégie d’analyse, afin de contrer d’éventuels malwares programmés pour ne s’activer qu’après un certain délai.
> Le site de Norman SandBox Analyser.

GFI SandBox (ex CWSandbox). L’éditeur GFI est un touche à tout de la sécurité, parfois ignoré à tort. Avec au catalogue une offre complète et transversale, il n’est pas très étonnant de le trouver également sur la niche de l’analyse automatique de malware. GFI SandBox intègre une pré-analyse automatique via VirusTotal, afin d’éviter les pertes de temps (tout comme Malware Analyser, ci-dessus). La solution émule ensuite à la fois un système Windows et ses applications (elle est capable de détecter le type de fichier et de lancer l’application correspondante), mais aussi certaines interactions de l’utilisateur. Une interface REST permet enfin l’intégration à des produits tiers.
> Le site web de GFI SandBox.

Bien entendu l’utilisation de ces outils, qu’ils soient gratuits ou commerciaux, exige un certain verni technique : il faut être en mesure de savoir identifier des comportements suspects pour une application Windows (modifier des clés de registres afin de se lancer automatiquement, lancer des applications sans rapport puis les modifier, établir des connexions à des sites étranges, passer des commandes IRC, etc…). Et bien entendu, en entreprise il faut être en mesure d’organiser l’analyse dans des processus efficaces. Mais le gain, en matière de sécurité – et notamment face aux attaques ciblées – est à la hauteur de l’effort.

Si vous souhaitez vous (re) mettre à jour sur le sujet, notez que Symantec a publié un guide de l’analyse de malware fort utile. Bonne lecture !