Analyser des binaires inconnus en ligne

Par @Quack1 dans le
Tags : #Malwares, #Stage, #Analyse, #Inforensique, #IDS, #Anti-Virus, #Android,
Partagez cet article! ~ Google+ ~ ~ Linkedin ~ Mail
Flattr this

Quand on travaille dans la détection d'intrusions et l'inforensique, ou la sécurité informatique en général, il est courant de tomber sur des fichiers ou des URL inconnues et qui peuvent mettre à mal la sécurité d'un SI. Lancer des analyses complètes coûte cher. Cela demande du temps, des moyens, du personnel (très) qualifié, pour finalement tomber sur des documents Word innofensifs dans pas mal de cas.

Il existe donc quelques services en ligne qui peuvent analyser pour vous les fichiers ou URL que vous trouvez sur votre réseau et que vous ne connaissez pas.

Le premier, relativement connu dans le milieu, c'est Virus Total. Il va lancer l'analyse de votre fichier ou d'une URL par plusieurs anti-virus connus, et afficher le pourcentage d'entre eux qui les détecte comme malicieux. Il est également possible pours des utilisateurs de dire si le fichier est, selon eux, un malware ou non.

Le second, que j'ai découvert récemment, est un outil de iSecurity Labs nommé Anubis.

Anubis est capable d'analyser des exécutables Windows et des APK Android, mais aussi des URL.

Après avoir soumis votre fichier, Anubis vous affichera les actions effectuées par l'exécutable sur le système, comme par exemple les créations/modifications de fichiers, de clés de registres, les processus créés, etc... Si vous soumettez une URL, Anubis affichera l'activité de processus Internet Explorer qui visiteront l'URL.

Je trouve le service assez complet, et ça permet d'avoir une vision assez rapide et complète de ce que fait un exécutable, sans avoir à l'analyser complètement. Bien sûr, si le fichier ou l'URL est suspicieux, rien ne vaudra une analyse complète à la main! ;)

Cet article est libre et diffusé sous une licence Creative Commons CC-BY-NC. Vous pouvez rémunérer son auteur en utilisant le système Flattr :
Flattr this

Comments !