Publication C&esar : Automatisation de l’analyse de binaires

Published by GLIMPS on

Automatisation de l'analyse de binaires : de la collecte source ouverte à la Threat Intelligence

Par Frédéric Grelot, Sébastien Larinier et Marie Salmon

Abstract

De nombreuses sources ouvertes de binaires, et particulièrement de malware ont émergé dans le paysage ces dernières années. Et leur qualité n’a rien à envier aux sources commerciales comme le soulignait Thibaut Binetruy (HMiser, CERT Société Generale, 2020), « Integrating operational threat intel in your defense mechanisms doesn’t mean buying Threat Intel. You can start by using the [mass] of open source indicators available for free. ». Certaines sont mises à disposition par des sources officielles (Abuse.ch, alimenté entre autre par le CERT national Suisse), d’autres de manières plus obscures, voire anonymement (VirusShare, Vx-underground, etc.). 

Le panorama que nous en avons dressé souligne la grande disparité qualitative et quantitative de ces sources. Il nous a fallu prendre en compte cette diversité dans le cadre de nos travaux de recherche, en concevant une plateforme dédiée nous permettant d’alimenter nos produits d’analyses de binaires, et ainsi rendre possible l’analyse quotidienne des corrélations inter- et intra-familles de malwares à grande échelle. 

Ces travaux permettent une application sur des cas concrets tels que Babuk, Ryuk et Conti. Nous avons ainsi pu mettre en évidence les liens sur ces familles grâce à l’identification immédiate de corrélations, complétée par une analyse manuelle, qui a ainsi permis de confirmer précisément la généalogie des échantillon.

Si vous souhaitez en savoir plus,
téléchargez l'intégralité de la publication :

Categories: BlogNouvelles

0 Comments

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *