GLIMPS-Malware

Published by GLIMPS on

La détection et caractérisation de nouvelles menaces, même sur vos systèmes industriels

Notre outil d’analyse de Malware s’appuie sur une technologie de détection de code, indépendante des options de compilation, de la chaîne de compilation utilisée et même de l’architecture (x86, ARM, PPC, MIPS…) ! Grâce à cela, nous sommes capables de détecter des menaces inconnues sur des systèmes non standards (IoT, caméras, automates…) car elles ont du code commun avec des souches connues sur un environnement plus classique.

Notre technologie étant également capable de détecter le code d’un binaire sous de multiples formes, elle peut détecter une menace qui cible spécifiquement votre entreprise même si elle a été modifiée pour échapper aux technologies de détection par signature.

La corrélation par concept code

En conceptualisant le code compilé, nous pouvons remonter à un niveau d’abstraction similaire à celui du code source, en s’abstrayant des modifications induites par la compilation, l’architecture cible, etc… Nous pouvons ainsi retrouver la présence de Propriété Intellectuelle d’un groupe d’attaquant dans un fichier, ce qui nous permet de détecter et caractériser immédiatement la menace.

Dans la figure suivante, un groupe d’attaquant, « APT 42 », possède un code « privé ». Une fois utilisé dans plusieurs malwares et plusieurs campagnes, il est très difficile de remonter à ce code commun. Grâce à notre technologie, nous transformons les différents malwares exploités par ce groupe en « Concept Code », et leurs caractéristiques propres étant indépendantes des chaînes de compilation et des architectures utilisées, nous sommes capables d’identifier la présence de code commun entre ces deux branches et d’affirmer que l’attaquant possède nécessairement un code source commun utilisé pour les produire : les deux sous-familles proviennent alors nécessairement de la même entité ! Bien sûr, auparavant, nous avons supprimé tout concept-code associé à du code public (runtimes, codes open-source…) que l’on peut retrouver dans de nombreux malwares.

Couplé à un orchestrateur performant

GLIMPS-Malware, ce n’est pas qu’une brique technologique ! Afin de pouvoir supporter les flux auxquels vous pouvez être confrontés, nous l’avons intégré dans un orchestrateur performant, grâce auquel nous avons déjà pu analyser des millions de fichiers. La capacité de la plateforme d’analyse est ainsi complètement ajustable à vos besoins, que vous souhaitiez analyser 10 binaires par jour ou les millions de fichiers de votre passerelle Internet. Par ailleurs, cela vous permet également de profiter de nombreux plugins supplémentaires : antivirus, plugins d’extraction et analyse de documents… Grâce à cela, vous disposez immédiatement d’un outil complet fournissant un rapport détaillé et performant de l’analyse d’un fichier et doté d’une capacité d’alerte automatique intégrable à votre solution SIEM.

Un gain de temps à chaque étape

Le tableau ci-dessous résume la valeur ajoutée de GLIMPS-Malware aux différentes étapes de détection et analyse d’un malware.

De nombreux Use Cases

GLIMPS-Malware trouve ainsi ses applications :

  • Comme solution de sécurité sur vos proxy mails ou web afin de détecter et bloquer des menaces.
  • Comme outil d’aide aux analystes de SOC afin d’identifier et caractériser finement les menaces, même sur des sytèmes embarqués des systèmes industriels ou de production,
  • Comme outil de Threat Intel pour aider à caractériser les malwares, comprendre les relations entre les groupes d’attaquants,
  • Comme serveur centralisé d’analyse de fichiers à l’usage de l’ensemble des employés de votre entreprise,

Contactez-nous dès maintenant pour intégrer GLIMPS-Malware dans votre solution de sécurité !

Categories: produits