Intezer analyse le code réutilisé pour faire une distinction efficace entre le légitime et le malveillant


Traiter des centaines de fichiers inconnus et de nombreux faux positifs, effectuer une analyse de la mémoire et se protéger contre les logiciels malveillants sans fichier représentent certains des plus grands défis auxquels les entreprises sont confrontées aujourd'hui. Intezer Analyze ™ fournit une détection et une analyse rapides des logiciels malveillants en décomposant le code de chaque fichier inconnu et en comparant ses «gènes» à tout le code précédemment vu, à la fois légitime et malveillant.

Veuillez nous parler un peu de votre parcours et de votre poste actuel chez Intezer.

Avant de fonder Intezer en 2015, j'étais à la tête de la CERT (Incident Response Team) des Forces de défense israéliennes, où je m'occupais quotidiennement des attaques parrainées par la nation. Mes fonctions comprenaient la réponse à ces attaques, la criminalistique, l'analyse de logiciels malveillants, etc..

Quelles sont les plus grandes menaces de cybersécurité d'aujourd'hui et quels sont les plus grands défis à relever pour identifier ces menaces avant qu'elles n'attaquent?

Les plus grandes menaces sont les cyberattaques qui ne génèrent aucun bruit.  Les cyberattaques qui sont si furtives qu'elles ne présentent aucune anomalie ou comportement étrange, ils sont donc en mesure d'éviter la détection par la plupart des solutions disponibles aujourd'hui. Ces attaques extrêmement furtives comprennent des logiciels malveillants sans fichier et des attaques en mémoire.

Qu'est-ce qu'un code / malware sans fichier?

Les attaques sans fichier sont assez complexes. Lorsque quelqu'un vous envoie un fichier, vous le verrez sur votre bureau et votre disque. pourtant, il existe des moyens pour les attaquants d'exécuter des morceaux de code directement en mémoire afin que vous ne voyiez aucun type de fichier. Ce type de code malveillant «sans fichier» est parfois délivré via un fichier de charge utile «dropper» qui se supprime une fois qu'il exécute ce code malveillant en mémoire.

Quelle technologie avez-vous développée pour vous protéger contre ces attaques furtives?

Intezer Analyze ™ peut à la fois identifier et analyser les cybermenaces, quelle que soit l'apparence d'un fichier par rapport au comportement actuel de votre réseau. Notre approche n'est pas de regarder comment un fichier se comporte, qui peut être trompé ou usurpé mais pour regarder les origines du fichier. Donc, même si vous avez ce malware très furtif qui ne génère aucun bruit, nous le détecterions tout de même en retraçant les origines de son code.

Veuillez expliquer l'utilisation de la terminologie «ADN» et «gène» et de votre «base de données de génome Code» dans le contexte d'Intezer Analyze ™.

Notre approche est en fait très similaire à la cartographie de l'ADN dans la vraie vie. Nous pouvons prendre n'importe quel fichier ou logiciel en cours d'exécution dans votre organisation et le disséquer en plusieurs petits morceaux de code binaire que nous avons appelé «gènes». Nous recherchons et identifions ensuite où nous avons vu chacun de ces gènes dans le passé. Par exemple, si vous avez un fichier dont vous ne savez rien, nous pouvons vous alerter lorsque nous voyons un morceau de code qui a été réutilisé à partir de logiciels malveillants connus ou d'acteurs de menace connus. Ainsi, non seulement nous pouvons déterminer si un fichier est bon ou mauvais mais, dans la plupart des cas, nous pouvons identifier qui est responsable d'une certaine cyberattaque.

Intezer analyse le code réutilisé pour faire une distinction efficace entre le légitime et le malveillant

Quels sont les avantages de pouvoir identifier la source du code malveillant?

Deux raisons principales. L'une est que si vous savez d'où provient un logiciel, même s'il ne fait rien de spécial, mais qu'il provient tout de même d'un certain acteur de la menace, il est raisonnable de conclure qu'il s'agit d'un mauvais fichier.

Deuxièmement, cela peut vous aider à comprendre à quoi vous avez affaire. Par exemple, si vous savez que vous avez affaire à un APT ou à un acteur de menace avancé, la réponse elle-même serait considérablement différente que si vous aviez affaire à une arnaque Internet courante. Par conséquent, se concentrer sur et accélérer la réponse est une valeur très importante que vous obtenez en comprenant les origines du code dans le fichier.

Ainsi, vous analysez constamment les fichiers et ajoutez à la base de données du génome à mesure que de nouvelles menaces sont détectées?

Correct. L'idée est de créer cette énorme base de données de tous les gènes de tous les morceaux de code dans le monde des logiciels légitimes et malveillants afin que nous puissions détecter la réutilisation du code et les similitudes de code dans des fichiers inconnus ou suspects. Tout comme Google doit indexer de plus en plus de sites Web chaque jour, nous devons indexer chaque jour davantage de logiciels et de logiciels malveillants. notre base de données est en constante augmentation.

Vous savez, ce qui est étonnant, c'est que tout le monde réutilise le code. Même lorsque Microsoft crée un nouveau produit, ils réutilisent le code. Donc, le logiciel est vraiment évolutif dans les cas légitimes et malveillants.

C'est ce concept qui rend notre technologie si efficace - même une base de données modeste qui n'inclut pas toutes les menaces ou tous les logiciels dans le monde est d'une valeur énorme.

Pouvez-vous alors identifier Zero Day Attacks?

Absolument. En réalité, Les Zero Day Attacks sont notre point fort car ces menaces sophistiquées sont si furtives qu'elles parviennent à contourner les solutions Next Generation d'aujourd'hui. Imaginez que vous êtes un acteur sophistiqué des menaces qui a consacré une dizaine d'années à développer votre code pour les logiciels malveillants et les cyberattaques. Vous ne pouvez pas vraiment jeter des dizaines d'années de développement à la poubelle et recommencer à zéro à chaque fois.

Un très bon exemple est WannaCry, le rançongiciel le plus connu jamais créé qui a infecté l'année dernière des millions d'ordinateurs dans le monde.. Nous avons été la première entreprise au monde à identifier cette menace comme originaire de Corée du Nord. C'est parce que nous avons trouvé des morceaux de code, de l'ADN, à l'intérieur de WannaCry que nous avons reconnus comme du code qui avait seulement provient de logiciels malveillants nord-coréens précédents. Détecter WannaCry grâce à un code réutilisé malveillant est notre innovation ici.

N'est-il pas possible qu'un acteur de la menace non originaire de Corée du Nord puisse réutiliser le code de WannaCry, sachant que l'analyse de code serait responsable de la Corée du Nord?

C’est une excellente question! Pour réutiliser le code du malware nord-coréen, l'autre attaquant aurait besoin du CODE SOURCE réel.  Il est pratiquement impossible de réutiliser du code binaire, ils devraient donc pirater le gouvernement nord-coréen, voler leur code source, puis le recompiler avec leurs modifications. Donc, ce scénario est très, très peu probable.

Pouvez-vous nous montrer un exemple de la cartographie de l'ADN d'Intezer Analyze ™ en action?

Voici un cas de fichier suspect, prétendant être un fichier Windows. Juste après avoir téléchargé le fichier et analysé son ADN, vous pouvez voir que nous avons extrait 462 gènes ou de minuscules morceaux de code.

Intezer analyse le code réutilisé pour faire une distinction efficace entre le légitime et le malveillant

Cliquez ici pour une démo interactive.

Le côté droit de l'écran est l'endroit où la magie opère et la cartographie de l'ADN a lieu. Tout d'abord, nous ne voyons pas un seul gène de Microsoft, ce qui signifie qu'aucun du code de ce fichier n'a jamais été utilisé dans un produit Microsoft. Cela nous dit tout de suite que ce ne peut pas être un fichier Windows. Nous reconnaissons également que près de 80% du code de ce fichier a été vu dans les variantes précédentes de WannaCry. Maintenant, la chose la plus intéressante ici est que près de 6% du code, ou 26 gènes, ont déjà été utilisés dans Lazarus, un acteur de la menace nord-coréenne qui a piraté Sony en 2009. Donc, vous voyez que même des années après une attaque, le code malveillant d'origine est toujours utilisé pour créer de nouveaux logiciels malveillants.

Intezer analyse le code réutilisé pour faire une distinction efficace entre le légitime et le malveillant

Comment Intezer Analyze ™ réduit-il les faux positifs lors de la détection de logiciels malveillants?

Comme notre base de données sur le génome contient non seulement du mauvais code mais aussi du code légitime, nous pouvons identifier si un fichier est bon ou mauvais en analysant la réutilisation du code et les similitudes du code. Par exemple, si vous avez un fichier de Microsoft qu'une autre solution ou un autre système de sécurité peut juger suspect en raison de son comportement, Intezer le reconnaîtra comme légitime car 90% de son code a été vu dans d'autres produits Microsoft. Donc, nous réduisons beaucoup de faux positifs des autres systèmes de sécurité parce que nous venons d'identifier l'ADN comme celui d'un fournisseur de confiance.

Je dis toujours que Skype est essentiellement un virus ressemblant à un outil d'espionnage car il enregistre vos frappes et dispose d'une caméra. Donc, Bien que Skype semble se comporter mal, nous savons qu'il est bon car le code provient et appartient à Microsoft. La meilleure analogie est de voir quelqu'un dans la rue portant un masque et portant une arme à feu, qui ressemble et se comporte dangereusement. Cependant, si vous prenez son ADN et qu'il correspond à un agent de la CIA, vous pouvez comprendre qu'il est en fait bon.

Avez-vous une idée de la source de l'attaque du ransomware sur Atlanta en mars?

Oui, dans le cas de la cyberattaque d'Atlanta, ils ont utilisé un ransomware appelé SamSam qui partageait le code avec d'autres fichiers de ransomware. Cette capture d'écran montre comment nous avons reconnu ce fichier comme malveillant, identifié la source et comment notre cartographie ADN aurait pu empêcher cette attaque.

Intezer analyse le code réutilisé pour faire une distinction efficace entre le légitime et le malveillant

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

6 + 1 =

map