Détection et caractérisation de Malware avec GLIMPS Malware

Published by GLIMPS on

Détection et caractérisation de Malware avec GLIMPS Malware.

Comme pour le cas d’usage Threat-Intel, nous avons repris notre code source mirai, avec cette fois quelques modifications :

  1. Afin d’être plus discret, nous avons enlevé les chaînes de caractères les plus flagrantes,
  2. Nous n’avons pas utilisé le script de compilation fourni sur Github, à base de gcc. A la place, nous avons réécrit notre propre script utilisant clang.

En tout, l’opération n’a pas pris plus de 30 minutes.

Nous avons soumis à VirusTotal le binaire ainsi obtenu. Aucun antivirus n’a détecté ce nouveau sample de mirai.

Nous avons l’avons ensuite soumis à GLIMPS-Malware. Le fichier a immédiatement été détecté comme un malware, avec une bonne probabilité qu’il soit de la famille mirai.

A l’époque où ce test a été réalisé, nous n’avions jamais mis de binaires compilés en clang dans notre base d’apprentissage (il s’agit d’un effort en cours). Malgré tout, notre technologie de conceptualisation est parvenue à en extraire le sens avec exactitude. On voit d’ailleurs dans les résultats obtenus que le sample le plus proche identifié est pour une architecture ARM, tandis que nous avions poussé un binaire de type amd_64.  Notre technologie s’abstrait de l’architecture cible.

Ce que nous avons fait avec mirai, c’est exactement ce que font les grands groupes d’attaquants avant de lancer une nouvelle campagne ou une attaque ciblée : ils ajustent la chaîne de production du malware pour, en réutilisant le maximum de code source parmi leur Propriété Intellectuelle (afin de réduire au maximum le coût de l’attaque), générer un code compilé qui soit suffisamment nouveau pour contourner les antivirus et chaînes de détection actuelles.

Grâce à GLIMPS-Malware, vous serez en mesure de détecter et stopper ces nouvelles attaques. Vous protégez non seulement votre Système d’Information classique, mais également votre Système Industriel vos Systèmes de Production ou les Systèmes Embarqués que vous concevez.

Contactez-nous pour plus de renseignement, une démonstration ou la plannification d’une évaluation.

Categories: Blogcas d'usage

Related Posts

Blog

GLIMPS parmi les Lauréats du Grand Défi Cyber

GLIMPS parmi les Lauréats du Grand Défi Cyber. Le Grand Cyber Challenge fait partie du plan d’un milliard d’euros visant à renforcer la cybersécurité du pays d’ici 2025. L’objectif du gouvernement est clair : rendre Read more…

Blog

Publication C&esar : Automatisation de l’analyse de binaires

Automatisation de l’analyse de binaires : de la collecte source ouverte à la Threat Intelligence Par Frédéric Grelot, Sébastien Larinier et Marie Salmon Abstract De nombreuses sources ouvertes de binaires, et particulièrement de malware ont Read more…

Blog

Comparaison des ransomware utilisés contre Enel et Honda

Comparaison des ransomware utilisés contre Enel et Honda. François a effectué un stage chez nous entre avril et août. Il a notamment travaillé au développement d’un outil qui extrait les symboles d’un programme écrit en Read more…