17 Mai 2022

Détection et caractérisation de malware avec GLIMPS Malware

Articles

Comme pour le cas d’usage Threat-Intel, nous avons repris notre code source mirai, avec cette fois quelques modifications :
1. Afin d’être plus discret, nous avons enlevé les chaînes de caractères les plus flagrantes,
2. Nous n’avons pas utilisé le script de compilation fourni sur Github, à base de gcc. A la place, nous avons réécrit notre propre script utilisant clang.

En tout, l’opération n’a pas pris plus de 30 minutes.
Nous avons soumis à Virus Total le binaire ainsi obtenu. Aucun antivirus n’a détecté ce nouveau sample de mirai.
Nous avons l’avons ensuite soumis à GLIMPS Malware. Le fichier a immédiatement été détecté comme un malware, avec une bonne probabilité qu’il soit de la famille mirai.

A l’époque où ce test a été réalisé, nous n’avions jamais mis de binaires compilés en clang dans notre base d’apprentissage (il s’agit d’un effort en cours). Malgré tout, notre technologie de conceptualisation est parvenue à en extraire le sens avec exactitude. On voit d’ailleurs dans les résultats obtenus que le sample le plus proche identifié est pour une architecture ARM, tandis que nous avions poussé un binaire de type amd_64. Notre technologie s’abstrait de l’architecture cible.

Ce que nous avons fait avec mirai, c’est exactement ce que font les grands groupes d’attaquants avant de lancer une nouvelle campagne ou une attaque ciblée : ils ajustent la chaîne de production du malware pour, en réutilisant le maximum de code source parmi leur Propriété Intellectuelle (afin de réduire au maximum le coût de l’attaque), générer un code compilé qui soit suffisamment nouveau pour contourner les antivirus et chaînes de détection actuelles.

Grâce à GLIMPS Malware, vous serez en mesure de détecter et stopper ces nouvelles attaques. Vous protégez non seulement votre Système d’Information classique, mais également votre Système Industriel vos Systèmes de Production ou les Systèmes Embarqués que vous concevez.
Contactez-nous pour plus de renseignement, une démonstration ou la planification d’une évaluation.