Nouvelle fonctionnalité : analyse avancée des URLs dans les fichiers

Avec l’amélioration des techniques d’obfuscation, la détection des menaces ne repose plus aujourd’hui seulement sur l’analyse et la reconnaissance de signatures de malwares. Pour piéger les victimes sans avoir le besoin de développer, les cybercriminels adoptent désormais des modes opératoires plus subtils, en dissimulant par exemple des URLs malveillantes au sein de documents d’apparence légitimes.

Pour pouvoir répondre à cette nouvelle tendance, l’éditeur GLIMPS met à disposition de ses utilisateurs de nouvelles fonctionnalités liées à l’analyse et à la catégorisation d’URLs notamment en s’associant avec Olfeo. Explications.

Les cybercriminels ne manquent jamais d’ingéniosité pour atteindre leurs cibles. Bien que l’envoi de mails piégés à l’aide de liens de phishing ou des pièces jointes infectées reste une méthode classique, une nouvelle tendance émerge.

Des liens vers des sites malveillants sont dissimulés dans des documents PDF ou Word apparemment légitimes, comme des plaquettes commerciales ou des CV. Les utilisateurs, moins vigilants, se retrouvent alors redirigés à leur insu vers des sites à risque.

Si la visite de liens malveillants semble être un risque mesuré tant que l’utilisateur ne fournit aucune information, dans les faits certains d’entre eux peuvent être pénalement répréhensibles comme les contenus illégaux de type pédopornographique.

Les sites de phishing, souvent associés à des techniques de typosquatting, où l’URL est modifiée pour paraître légitime, représentent une menace tout aussi sérieuse. Ces derniers imitent parfaitement des plateformes utilisées quotidiennement par les salariés comme celle de la messagerie de l’entreprise Microsoft 365 ou Google Workspace. Invités à se connecter à leur plateforme habituelle, les cybercriminels arrivent à intercepter les informations d’authentification même dans certains cas où l’authentification multifactorielle (MFA) est activée.

Il en est de même pour les liens redirigeant vers des sites de téléchargement usurpant l’identité d’éditeurs logiciels. Pensant télécharger un logiciel officiel, la victime télécharge un programme contenant un malware sur son poste de travail.

​​D’autres attaques plus directes utilisent des liens qui, dès leur ouverture, déclenchent le téléchargement automatique d’un fichier sur le poste de travail de la victime, sans redirection préalable vers une page web.

Si le lien est un élément auquel les utilisateurs d’internet se sont habitués avec le temps, il reste un vecteur d’attaque qui nécessite des mesures de sécurité pour les identifier et les bloquer avant qu’ils ne soient utilisés.

L’un des problèmes récurrents dans la gestion des URLs malveillantes est le caractère éphémère de ces dernières.

Comme l’explique Cédric GIBERT, Directeur Produit chez GLIMPS : « détecter les liens de phishing est extrêmement difficile à faire de manière automatique, car les attaquants créent souvent des URLs pour une journée, le temps de la campagne de phishing. »

Une fois la campagne terminée, ces liens deviennent inactifs, compliquant davantage la surveillance en temps réel.

C’est là que l’expertise de l’éditeur Olfeo intervient. Lorsque GLIMPS Malware extrait des liens d’un fichier, ces liens sont ensuite comparés à la base de données d’Olfeo, qui recense un large éventail d’URLs déjà classées. GLIMPS Malware tire ainsi parti d’une base de données de 25 millions d’URLs, qui a été éprouvée au fil de 20 années grâce à l’approche Trust Centric de catégorisation des URLs. « Tous les contenus sont analysés et catégorisés en fonction de leur nature, avec une validation obligatoire par notre équipe de classification. Cette approche garantit une qualité exceptionnelle de notre base de données, avec un taux d’erreur sur les classements proche de zéro, ce qui nous distingue des autres fournisseurs. » comme l’explique Richard Szewczyk Sales Manager chez Olfeo.

Cette base de données permet de bloquer en amont les tentatives malveillantes, mais offre également une protection contre les risques légaux comme le souligne, Richard Szewczyk : « Ce qui intéresse particulièrement nos utilisateurs, c’est la présence d’une thématique dédiée aux risques légaux, développée en 2010 en collaboration avec un cabinet d’avocats. Ce thème regroupe des catégories aux contenus pénalement répréhensibles selon la loi française, tels que la pédopornographie, les actes de violence ou d’autres contenus illégaux. Dans un contexte professionnel, l’accès à ces contenus expose l’entreprise à des risques juridiques et engage la responsabilité du dirigeant. »

Cette comparaison permet de distinguer rapidement les URLs définies comme sûres, déjà reconnues et catégorisées, des liens inconnus, qui peuvent être potentiellement dangereux. GLIMPS Malware exploitera cette base pour fournir un verdict malveillant à tout fichier comprenant une URL pénalement répréhensible.

Plus récemment, le domaine .qouv a été utilisé dans des campagnes de phishing visant à imiter les sites gouvernementaux français .gouv. Une situation pouvant être gérée grâce à la base de données d’Olfeo. Cette dernière permet de détecter cette URL comme non répertoriée, la classer dans les domaines à risque, et la bloquer avant toute tentative de compromission.

Mais l’analyse ne s’arrête pas là. Lorsqu’une URL suspecte est détectée dans un fichier, GLIMPS Malware permet désormais d’effectuer une analyse approfondie mettant à profit l’ensemble de ses moteurs de détection et de caractérisation. Plusieurs scénarios peuvent alors se présenter, selon la nature du lien.

Si l’URL mène à un fichier : GLIMPS Malware télécharge le fichier associé, puis effectue une analyse complète pour vérifier s’il contient des malwares ou d’autres menaces.

Si l’URL mène à un site web : GLIMPS Malware télécharge la page du site ainsi que les objets associés (scripts, images, etc.) pour vérifier s’il contient du code malveillant. Cette étape permet de s’assurer qu’aucune tentative d’exploitation ou de redirection malveillante ne se déclenche lorsqu’un utilisateur visite la page. Une fois l’analyse terminée, un aperçu du site est généré, permettant aux analystes de visualiser la page sans avoir à s’y connecter directement.

La nouvelle fonctionnalité de qualification des URLs constitue un atout majeur pour les équipes de cybersécurité, qu’il s’agisse des Security Operations Centers (SOC) ou des Computer Security Incident Response Teams (CSIRT). Elle enrichit leurs capacités d’investigation en leur permettant de prioriser les analyses et d’approfondir la compréhension des menaces, quel que soit leur niveau d’intervention.

Comme le souligne Cédric : « On couvre tout le spectre d’analyse, du N1 qui fait une simple levée de doute sur une URL, jusqu’à celui qui réalise une investigation approfondie sur un malware. »

Pour une équipe SOC Niveau 1, cette fonctionnalité simplifie la levée de doute. Lorsqu’un utilisateur signale une URL, un fichier ou un email suspect, l’analyste peut rapidement déterminer s’il s’agit d’une menace réelle.

Pour une équipe SOC Niveau 3 ou une équipe CSIRT, dont l’objectif est de mener des investigations avancées en analysant le comportement d’un malware et en récupérant sa charge utile (payload), GLIMPS Malware offre un environnement contrôlé et sécurisé.

En effet, de nombreux SOC ne disposent pas des outils nécessaires pour mener des investigations avancées. Ils s’appuient souvent sur des machines virtuelles (VM) qu’ils doivent configurer manuellement pour analyser des fichiers suspects dans un environnement isolé.

GLIMPS Malware apporte une solution automatisée et entièrement sécurisée offrant un environnement prêt à l’emploi. Les analystes peuvent ainsi se focaliser sur l’essentiel : comprendre la menace, anticiper les attaques et déployer des contre-mesures efficaces.

GLIMPS Malware met désormais à disposition de ses utilisateurs tout un arsenal permettant de pouvoir qualifier et caractériser les URL contenues dans les fichiers qu’ils analysent. En se basant sur l’ensemble de ses technologies de détection, couplées au partenariat technologique de la solution souveraine Olféo, GLIMPS répond aux enjeux cyber toujours grandissant dans le contexte géopolitique complexe actuel.

Vous souhaitez en savoir plus ? N’hésitez pas à contacter notre équipe commerciale dès maintenant en cliquant sur ce lien.