Analyse de malwares décryptée : Une plongée au cœur des techniques d'analyse dynamique

Dans le jeu incessant du chat et de la souris qu'est la cybersécurité, comprendre son adversaire est primordial. Les logiciels malveillants, ou malwares, sont l'arme principale de l'arsenal des cybercriminels, des acteurs étatiques et des hacktivistes du monde entier. Pour se défendre contre ces menaces, nous devons les disséquer, comprendre leurs motivations et apprendre comment ils fonctionnent. C'est le domaine de l'analyse de malwares, une discipline essentielle pour tout professionnel de la sécurité moderne. Bien qu'il existe plusieurs façons d'aborder ce sujet, nous nous plongeons aujourd'hui dans l'une des méthodes les plus révélatrices : l'analyse dynamique.

Qu'est-ce que l'analyse de malwares ? Un bref rappel

À la base, l'analyse de malwares est le processus d'étude d'un échantillon de malware pour comprendre son origine, sa fonctionnalité et son impact potentiel. L'objectif ultime est de générer des renseignements exploitables qui peuvent être utilisés pour améliorer les défenses, répondre aux incidents et chasser les menaces de manière proactive. Ce processus se divise généralement en deux grandes catégories :

• Analyse statique : Examiner le code et la structure du malware sans l'exécuter. C'est un peu comme lire le plan d'un bâtiment pour comprendre sa conception.
• Analyse dynamique : Exécuter le malware dans un environnement sûr et contrôlé pour observer son comportement en temps réel. C'est comme faire l'essai d'une voiture pour voir comment elle se comporte sur la route.

Bien que l'analyse statique fournisse une compréhension fondamentale, elle peut être contrecarrée par des techniques comme l'obfuscation et le "packing" de code. C'est là que l'analyse dynamique brille, nous permettant de voir ce que le malware fait réellement lorsqu'il est lâché.

Décoder la malveillance en action : Comprendre l'analyse dynamique

L'analyse dynamique de malwares, souvent appelée analyse comportementale, est l'art et la science d'observer un malware pendant son exécution. Au lieu de se pencher sur des lignes de code désassemblé, l'analyste agit comme un biologiste numérique, plaçant le spécimen dans une boîte de Pétri (un environnement virtuel sécurisé) et documentant soigneusement ses actions et interactions. Elle répond à des questions cruciales comme :

• Quels fichiers crée-t-il ou modifie-t-il sur le système ?
• Tente-t-il d'atteindre la persistance pour survivre à un redémarrage ?
• Communique-t-il avec un serveur distant ? Si oui, où et pourquoi ?
• Tente-t-il de voler des données, de chiffrer des fichiers ou d'installer une porte dérobée (backdoor) ?
• Tente-t-il de désactiver les logiciels de sécurité ?

Analyse statique vs. dynamique : L'histoire de deux méthodologies

Pour vraiment apprécier l'analyse dynamique, il est utile de la comparer directement à son homologue statique. Elles ne sont pas mutuellement exclusives ; en fait, l'analyse la plus efficace implique souvent une combinaison des deux.

• Analyse statique
  • Analogie : Lire une recette. Vous pouvez voir tous les ingrédients et les étapes, mais vous ne savez pas quel goût aura le plat final.
  • Avantages : Elle est intrinsèquement sûre car le code n'est jamais exécuté. Elle peut, en théorie, révéler tous les chemins d'exécution possibles du malware, pas seulement celui observé lors d'une seule exécution.
  • Inconvénients : Elle peut être extrêmement chronophage et nécessite une expertise approfondie en langage assembleur et en ingénierie inverse. Plus important encore, les acteurs malveillants utilisent délibérément des "packers" et des obfuscateurs pour rendre le code illisible, rendant l'analyse statique de base inefficace.
• Analyse dynamique
  • Analogie : Cuisiner la recette et la goûter. Vous ressentez ses effets directs, mais vous pourriez manquer un ingrédient optionnel qui n'a pas été utilisé cette fois-ci.
  • Avantages : Elle révèle le véritable comportement du malware, contournant souvent l'obfuscation simple car le code doit être désobfusqué en mémoire pour s'exécuter. Elle est généralement plus rapide pour identifier les fonctionnalités clés et générer des Indicateurs de Compromission (IOCs) immédiatement utiles.
  • Inconvénients : Elle comporte un risque inhérent si l'environnement d'analyse n'est pas parfaitement isolé. De plus, les malwares avancés peuvent détecter qu'ils sont analysés dans un bac à sable (sandbox) ou une machine virtuelle et modifier leur comportement ou simplement refuser de s'exécuter. Elle ne révèle également que le chemin d'exécution emprunté lors de cette exécution spécifique ; le malware pourrait avoir d'autres capacités qui n'ont pas été déclenchées.

Les objectifs de l'analyse dynamique

Lorsqu'un analyste effectue une analyse dynamique, il est en mission pour recueillir des renseignements spécifiques. Les objectifs principaux incluent :

• Identifier les Indicateurs de Compromission (IOCs) : C'est l'objectif le plus immédiat. Les IOCs sont les empreintes numériques que le malware laisse derrière lui, telles que les hachages de fichiers (MD5, SHA-256), les adresses IP ou les domaines des serveurs de commande et de contrôle (C2), les clés de registre utilisées pour la persistance, ou des noms de mutex spécifiques.
• Comprendre la fonctionnalité et le but : S'agit-il d'un ransomware conçu pour chiffrer les fichiers ? Est-ce un cheval de Troie bancaire destiné à voler des identifiants ? Est-ce une porte dérobée qui donne à un attaquant le contrôle à distance ? Est-ce un simple téléchargeur dont le seul travail est de récupérer une charge utile de deuxième étape plus puissante ?
• Déterminer la portée et l'impact : En observant son comportement, un analyste peut évaluer les dommages potentiels. Se propage-t-il sur le réseau ? Exfiltre-t-il des documents sensibles ? Comprendre cela aide à prioriser les efforts de réponse aux incidents.
• Recueillir des renseignements pour les règles de détection : Les comportements et artefacts observés peuvent être utilisés pour créer des signatures de détection robustes pour les outils de sécurité. Cela inclut des règles basées sur le réseau (par ex., pour Snort ou Suricata) et des règles basées sur l'hôte (par ex., YARA).
• Extraire les données de configuration : De nombreuses familles de malwares contiennent des données de configuration intégrées, y compris les adresses des serveurs C2, les clés de chiffrement ou les identifiants de campagne. L'analyse dynamique peut souvent amener le malware à déchiffrer et à utiliser ces données en mémoire, où elles peuvent être capturées par l'analyste.

Construire votre forteresse : Mettre en place un environnement d'analyse sécurisé

Avertissement : C'est la partie la plus critique du processus. N'exécutez jamais, au grand jamais, un fichier suspect sur votre machine personnelle ou d'entreprise. Tout le principe de l'analyse dynamique repose sur la création d'un laboratoire entièrement isolé et contrôlé, communément appelé un bac à sable (sandbox). L'objectif est de laisser le malware s'exécuter librement dans cet espace contrôlé sans aucun risque qu'il s'échappe et cause des dommages dans le monde réel.

Le cœur du laboratoire : La machine virtuelle (VM)

La virtualisation est la pierre angulaire d'un laboratoire d'analyse de malwares. Une machine virtuelle (VM) est un système informatique entièrement émulé qui fonctionne par-dessus votre machine physique (l'hôte). Des logiciels comme Oracle VM VirtualBox (gratuit) ou VMware Workstation Player/Pro sont des standards de l'industrie.

Pourquoi utiliser une VM ?

• Isolation : Une VM est isolée du système d'exploitation hôte. Si le malware chiffre l'intégralité du lecteur C: de la VM, votre machine hôte reste intacte.
• Réversibilité : La fonctionnalité la plus puissante des VM est la capacité de prendre des 'snapshots' (instantanés). Un snapshot capture l'état exact de la VM à un moment donné. Le flux de travail standard est : configurer une VM propre, prendre un snapshot, exécuter le malware, et après l'analyse, simplement revenir au snapshot propre. Ce processus prend quelques secondes et garantit que vous disposez d'un environnement frais et non contaminé pour chaque nouvel échantillon.

Votre VM d'analyse doit être configurée pour imiter un environnement d'entreprise typique afin que le malware se sente 'chez lui'. Cela inclut l'installation de logiciels courants comme Microsoft Office, Adobe Reader et un navigateur web.

Isolation réseau : Contrôler les ondes numériques

Contrôler la connexion réseau de la VM est crucial. Vous voulez observer son trafic réseau, mais vous ne voulez pas qu'il attaque avec succès d'autres machines sur votre réseau local ou alerte un attaquant distant. Il existe plusieurs niveaux de configuration réseau :

• Entièrement isolé (Host-Only) : La VM ne peut communiquer qu'avec la machine hôte et rien d'autre. C'est l'option la plus sûre et elle est utile pour analyser les malwares qui n'ont pas besoin de connectivité Internet pour manifester leur comportement principal (par ex., un simple ransomware de chiffrement de fichiers).
• Internet simulé (Réseau interne) : Une configuration plus avancée implique deux VM sur un réseau interne uniquement. La première est votre VM d'analyse. La seconde VM agit comme un faux Internet, exécutant des outils comme INetSim. INetSim simule des services courants comme HTTP/S, DNS et FTP. Lorsque le malware essaie de résoudre `www.evil-c2-server.com`, votre faux serveur DNS peut répondre. Lorsqu'il essaie de télécharger un fichier, votre faux serveur HTTP peut en fournir un. Cela vous permet d'observer les requêtes réseau sans que le malware ne touche jamais le véritable Internet.
• Accès contrôlé à Internet : L'option la plus risquée. Ici, vous autorisez la VM à accéder au véritable Internet, généralement via un VPN ou une connexion réseau physique complètement séparée. C'est parfois nécessaire pour les malwares avancés qui utilisent des techniques pour vérifier qu'ils ont une connexion Internet authentique avant d'exécuter leur charge malveillante. Cela ne doit être fait que par des analystes expérimentés qui comprennent parfaitement les risques.

La boîte à outils de l'analyste : Logiciels essentiels

Avant de prendre votre snapshot 'propre', vous devez armer votre VM d'analyse avec les bons outils. Cette boîte à outils sera vos yeux et vos oreilles pendant l'analyse.

• Surveillance des processus : Process Monitor (ProcMon) et Process Hacker/Explorer de la suite Sysinternals sont indispensables pour observer la création de processus, les E/S de fichiers et l'activité du registre.
• Comparaison de l'état du système : Regshot est un outil simple mais efficace qui prend un snapshot 'avant' et 'après' de votre registre et de votre système de fichiers, mettant en évidence chaque changement.
• Analyse du trafic réseau : Wireshark est la norme mondiale pour la capture et l'analyse des paquets réseau bruts. Pour le trafic HTTP/S chiffré, Fiddler ou mitmproxy peuvent être utilisés pour effectuer une inspection de type man-in-the-middle.
• Débogueurs et désassembleurs : Pour des analyses plus approfondies, des outils comme x64dbg, OllyDbg ou IDA Pro sont utilisés, bien que ceux-ci fassent souvent le pont entre l'analyse dynamique et statique.

La chasse commence : Un guide pas à pas pour l'analyse dynamique

Avec votre laboratoire sécurisé préparé, il est temps de commencer l'analyse. Le processus est méthodique et nécessite une documentation minutieuse.

Phase 1 : Préparation et état de référence

1. Revenir au snapshot propre : Commencez toujours par un état connu et sain. Revenez au snapshot propre de votre VM que vous avez pris après sa configuration.
2. Démarrer la capture de l'état de référence : Lancez un outil comme Regshot et prenez le '1er cliché'. Cela crée votre état de référence du système de fichiers et du registre.
3. Lancer les outils de surveillance : Ouvrez Process Monitor et Wireshark et commencez à capturer les événements. Configurez vos filtres dans ProcMon pour vous concentrer sur le processus du malware qui n'a pas encore été exécuté, mais soyez prêt à les effacer s'il génère ou s'injecte dans d'autres processus.
4. Transférer l'échantillon : Transférez en toute sécurité l'échantillon de malware vers la VM. Un dossier partagé (qui doit être désactivé immédiatement après) ou un simple glisser-déposer est courant.

Phase 2 : Exécution et observation

C'est le moment de vérité. Double-cliquez sur l'échantillon de malware ou exécutez-le depuis la ligne de commande, selon le type de fichier. Votre travail consiste maintenant à être un observateur passif mais vigilant. Laissez le malware suivre son cours. Parfois, ses actions sont immédiates ; d'autres fois, il peut avoir une minuterie de veille et vous devrez attendre. Interagissez avec le système si nécessaire (par exemple, en cliquant sur un faux message d'erreur qu'il produit) pour déclencher un comportement supplémentaire.

Phase 3 : Surveillance des indicateurs comportementaux clés

C'est le cœur de l'analyse, où vous corrélez les données de tous vos outils de surveillance pour construire une image de l'activité du malware. Vous recherchez des schémas spécifiques dans plusieurs domaines.

1. Activité des processus

Utilisez Process Monitor et Process Hacker pour répondre :

• Création de processus : Le malware a-t-il lancé de nouveaux processus ? A-t-il lancé des utilitaires légitimes de Windows (comme `powershell.exe`, `schtasks.exe`, ou `bitsadmin.exe`) pour effectuer des actions malveillantes ? C'est une technique courante appelée Living Off the Land (LotL).
• Injection de processus : Le processus original s'est-il terminé pour 'disparaître' dans un processus légitime comme `explorer.exe` ou `svchost.exe` ? C'est une technique d'évasion classique. Process Hacker peut aider à identifier les processus injectés.
• Création de Mutex : Le malware crée-t-il un objet mutex ? Les malwares le font souvent pour s'assurer qu'une seule instance d'eux-mêmes est en cours d'exécution sur un système à un moment donné. Le nom du mutex peut être un IOC très fiable.

2. Modifications du système de fichiers

Utilisez ProcMon et votre comparaison Regshot pour répondre :

• Création de fichiers (Dropping) : Le malware a-t-il créé de nouveaux fichiers ? Notez leurs noms et emplacements (par ex., `C:\Users\\AppData\Local\Temp`, `C:\ProgramData`). Ces fichiers déposés pourraient être des copies de lui-même, des charges utiles secondaires ou des fichiers de configuration. Assurez-vous de calculer leurs hachages de fichier.
• Suppression de fichiers : Le malware a-t-il supprimé des fichiers ? Il pourrait essayer de supprimer les journaux des outils de sécurité ou même l'échantillon original lui-même pour couvrir ses traces (anti-forensique).
• Modification de fichiers : A-t-il modifié des fichiers système ou utilisateur existants ? Les ransomwares en sont un excellent exemple, car ils chiffrent systématiquement les documents des utilisateurs.

3. Modifications du Registre

Le Registre Windows est une cible fréquente pour les malwares. Utilisez ProcMon et Regshot pour rechercher :

• Mécanismes de persistance : C'est une priorité absolue. Comment le malware survivra-t-il à un redémarrage ? Recherchez de nouvelles entrées dans les emplacements d'exécution automatique courants, tels que `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` ou `HKLM\Software\Microsoft\Windows\CurrentVersion\Run`. Il pourrait également créer un nouveau service ou une tâche planifiée.
• Stockage de configuration : Les malwares peuvent stocker leurs données de configuration, telles que les adresses C2 ou les clés de chiffrement, dans le registre.
• Désactivation des fonctionnalités de sécurité : Recherchez les modifications conçues pour affaiblir les défenses du système, telles que les modifications des paramètres de Windows Defender ou du Contrôle de compte d'utilisateur (UAC).

4. Communications réseau

Dans Wireshark, filtrez le trafic provenant de votre VM. Demandez-vous :

• Requêtes DNS : Quels noms de domaine le malware tente-t-il de résoudre ? Même si la connexion échoue, la requête elle-même est un IOC fort.
• Balises C2 (Beaconing) : Tente-t-il de 'rentrer à la base' vers un serveur de Commande et Contrôle (C2) ? Notez l'adresse IP, le port et le protocole (HTTP, HTTPS, ou un protocole TCP/UDP personnalisé).
• Exfiltration de données : Voyez-vous de grandes quantités de données envoyées vers l'extérieur ? Cela pourrait indiquer un vol de données. Une requête HTTP POST contenant des données encodées est un schéma courant.
• Téléchargement de charges utiles : Tente-t-il de télécharger des fichiers supplémentaires ? L'URL est un IOC précieux. Dans votre environnement simulé avec INetSim, vous pouvez voir la requête GET et analyser ce qu'il essayait de récupérer.

Phase 4 : Analyse post-exécution et nettoyage

1. Arrêter la capture : Une fois que vous pensez que le malware a terminé ses activités principales, arrêtez les captures dans ProcMon et Wireshark.
2. Prendre le snapshot final : Prenez le '2ème cliché' dans Regshot et lancez la comparaison pour générer un rapport clair de toutes les modifications du système de fichiers et du registre.
3. Analyser et documenter : Enregistrez les journaux de tous vos outils. Corrélez les événements et construisez une chronologie des actions du malware. Documentez tous les IOCs découverts.
4. REVENIR À L'ÉTAT INITIAL DE LA VM : Ceci n'est pas négociable. Une fois vos données exportées en toute sécurité, revenez au snapshot propre de votre VM. Ne réutilisez pas une VM infectée.

Le jeu du chat et de la souris : Surmonter les techniques d'évasion des malwares

Les auteurs de malwares ne sont pas naïfs. Ils connaissent l'analyse dynamique et intègrent activement des fonctionnalités pour la détecter et l'éviter. Une part importante du travail d'un analyste est de reconnaître et de contourner ces techniques.

Détection anti-sandbox et anti-VM

Les malwares peuvent vérifier les signes indiquant qu'ils s'exécutent dans un environnement virtualisé ou automatisé. Les vérifications courantes incluent :

• Artefacts de VM : Recherche de fichiers spécifiques aux VM (`vmtoolsd.exe`), de pilotes de périphériques, de clés de registre (`HKLM\HARDWARE\Description\System\SystemBiosVersion` contenant 'VMWARE' ou 'VBOX'), ou d'adresses MAC connues pour appartenir à VMware/VirtualBox.
• Manque d'activité utilisateur : Vérification des documents récents, de l'historique du navigateur ou des mouvements de la souris. Un bac à sable automatisé peut ne pas simuler cela de manière convaincante.
• Spécifications du système : Vérification d'un nombre de cœurs de processeur inhabituellement bas, d'une petite quantité de RAM ou d'une petite taille de disque, ce qui peut être caractéristique d'une configuration de VM par défaut.

Réponse de l'analyste : Durcir votre VM pour qu'elle ressemble davantage à la machine d'un vrai utilisateur. C'est un processus connu sous le nom de 'anti-anti-VM' ou 'anti-anti-sandbox', impliquant de renommer les processus de la VM, de nettoyer les clés de registre révélatrices et d'utiliser des scripts pour simuler l'activité de l'utilisateur.

Anti-débogage

Si le malware détecte un débogueur attaché à son processus, il peut immédiatement se fermer ou modifier son comportement pour tromper l'analyste. Il peut utiliser des appels API Windows comme `IsDebuggerPresent()` ou des astuces plus avancées pour détecter la présence du débogueur.

Réponse de l'analyste : Utiliser des plugins de débogueur ou des débogueurs modifiés conçus pour cacher leur présence au malware.

Évasion temporelle

De nombreux bacs à sable automatisés ont une durée d'exécution limitée (par ex., 5-10 minutes). Les malwares peuvent exploiter cela en se mettant simplement en veille pendant 15 minutes avant d'exécuter leur code malveillant. Au moment où il se réveille, l'analyse automatisée est terminée.

Réponse de l'analyste : Lors d'une analyse manuelle, vous pouvez simplement attendre. Si vous suspectez un appel de mise en veille (sleep), vous pouvez utiliser un débogueur pour trouver la fonction de veille et la patcher pour qu'elle retourne immédiatement, ou utiliser des outils pour manipuler l'horloge système de la VM afin d'accélérer le temps.

Passer à l'échelle : Analyse dynamique manuelle vs. automatisée

Le processus manuel décrit ci-dessus offre une profondeur incroyable, mais il n'est pas scalable lorsqu'on traite des centaines de fichiers suspects par jour. C'est là que les bacs à sable automatisés entrent en jeu.

Bacs à sable automatisés : La puissance de l'échelle

Les bacs à sable automatisés sont des systèmes qui exécutent automatiquement un fichier dans un environnement instrumenté, effectuent toutes les étapes de surveillance que nous avons discutées et génèrent un rapport complet. Les exemples populaires incluent :

• Open Source : Cuckoo Sandbox est la solution open-source la plus connue, bien qu'elle nécessite un effort significatif de mise en place et de maintenance.
• Commercial/Cloud : Des services comme ANY.RUN (qui offre une analyse interactive), Hybrid Analysis, Joe Sandbox, et VMRay Analyzer fournissent des plateformes puissantes et faciles à utiliser.

Avantages : Ils sont incroyablement rapides et efficaces pour trier un grand volume d'échantillons, fournissant un verdict rapide et un rapport riche en IOCs.

Inconvénients : Ils sont une cible de choix pour les techniques d'évasion mentionnées ci-dessus. Un malware sophistiqué pourrait détecter l'environnement automatisé et montrer un comportement bénin, conduisant à un faux négatif.

Analyse manuelle : La touche de l'analyste

C'est le processus détaillé et pratique sur lequel nous nous sommes concentrés. Il est guidé par l'expertise et l'intuition de l'analyste.

Avantages : Elle offre la plus grande profondeur d'analyse. Un analyste qualifié peut reconnaître et contourner les techniques d'évasion qui tromperaient un système automatisé.

Inconvénients : Elle est extrêmement chronophage et n'est pas scalable. Elle est mieux réservée aux échantillons de haute priorité ou aux cas où l'analyse automatisée a échoué ou fourni des détails insuffisants.

La meilleure approche dans un Centre des Opérations de Sécurité (SOC) moderne est une approche à plusieurs niveaux : utiliser l'automatisation pour le triage initial de tous les échantillons, et escalader les échantillons les plus intéressants, évasifs ou critiques pour une analyse manuelle approfondie.

Synthèse : Le rôle de l'analyse dynamique dans la cybersécurité moderne

L'analyse dynamique n'est pas seulement un exercice académique ; c'est un pilier fondamental de la cybersécurité défensive et offensive moderne. En faisant exploser des malwares en toute sécurité et en observant leur comportement, nous transformons une menace mystérieuse en une quantité connue. Les IOCs que nous extrayons sont directement intégrés dans les pare-feux, les systèmes de détection d'intrusion et les plateformes de protection des terminaux pour bloquer les attaques futures. Les rapports comportementaux que nous générons informent les intervenants en cas d'incident, leur permettant de chasser et d'éradiquer efficacement les menaces de leurs réseaux.

Le paysage est en constante évolution. À mesure que les malwares deviennent plus évasifs, nos techniques d'analyse doivent évoluer avec eux. Que vous soyez un analyste SOC en herbe, un intervenant en cas d'incident chevronné ou un chercheur de menaces dévoué, la maîtrise des principes de l'analyse dynamique est une compétence essentielle. Elle vous permet de dépasser la simple réaction aux alertes et de commencer à comprendre l'ennemi de manière proactive, une détonation à la fois.