Cet article présente des techniques de clusterisation (classification automatique) de malwares pour se faciliter la vie dans l’écriture de règles Yara. Cela permet de diminuer fortement le taux de faux positifs. On commence par clusteriser notre ensemble de malwares, et, pour chaque cluster nous utilisons un générateur automatique de règles Yara. Nous donnons des exemples avec le jeu de données « theZoo ».

Le Machine Learning est une expression utilisée à tort et à travers dans beaucoup de domaines et l’analyse de malwares n’est pas épargnée. Mais correctement utilisés, les algorithmes du Machine Learning peuvent générer un gain de temps non négligeable, par exemple pour les analystes de malwares, pour comprendre une grande masse de données, sélectionner des fichiers ayant un profil particulier, et surtout : calculer des ensembles/clusters de fichiers ayant les mêmes propriétés. Pourquoi clusteriser un ensemble de malwares ? Par exemple, c’est ce que nous allons montrer dans cet article, pour générer des règles Yara sur ces familles ! Cela va permettre de faire du huntingen réponse sur incident, mais aussi en source ouverte pour découvrir de nouvelles souches d’une même famille. Dans cet article, nous présentons les différentes étapes pour générer des règles Yara sur des malwares, tous des exécutables Windows faisant partie du jeu de données...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.

S'abonner à Connect

Accédez à tous les contenus de Connect en illimité
Découvrez des listes de lecture et des contenus Premium
Consultez les nouveaux articles en avant-première

Je m'abonne

Déjà abonné ? Connectez-vous

Références

[Corkami] https://github.com/corkami/pics/blob/master/binary/pe101/pe101.svg

[Pefile] https://github.com/erocarrera/pefile

[LIEF] https://github.com/lief-project/LIEF

[ssdeep] https://ssdeep-project.github.io/ssdeep/index.html

[ssdeep_for] http://dfrws.org/sites/default/files/session-files/paper-identifying_almost_identical_files_using_context_triggered_piecewise_hashing.pdf

[pehash] https://www.usenix.org/legacy/events/leet09/tech/full_papers/wicherski/wicherski_html/index.html

[imphash] https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html

[tinynuke] https://github.com/rossja/TinyNuke

[impfuzzy] https://blog.jpcert.or.jp/2016/05/classifying-mal-a988.html

[impfuzzy_clust] https://blog.jpcert.or.jp/2017/03/malware-clustering-using-impfuzzy-and-network-analysis---impfuzzy-for-neo4j-.html

[polichombr] https://github.com/ANSSI-FR/polichombr

[machoke] https://github.com/conix-security/machoke

[Scikit] http://scikit-learn.org/stable/

[theZoo] https://github.com/ytisf/theZoo

[YaraGen] https://github.com/Xen0ph0n/YaraGenerator/

[Yar] http://virustotal.github.io/yara/

Article rédigé par

Larinier Sébastien

6 articles

Par le(s) même(s) auteur(s)

Réponse à incidents et investigation numérique en open source

GNU/Linux Magazine

HS n°

janvier 2015

Par

Cet article est une introduction à la démarche RI&IN : « Réponse à Incidents et Investigation Numérique ». Nous présentons les bonnes pratiques en matière de réaction à une compromission et les principaux logiciels libres/open source ou gratuits qui seront vos meilleurs atouts pour mener à bien vos analyses « inforensiques ».

Ajouter à une liste de lecture

OPSEC et Botnets

MISC

HS n°

octobre 2013

Par

Il est une catégorie d’internautes que l’on imagine plus soucieuse que les autres de la protection de sa vie privée et de son anonymat : les cybercriminels. Ils évoluent en effet dans un environnement qui leur est particulièrement inhospitalier sinon hostile et doivent faire face à des adversaires résolus et obstinés : services de police nationaux et internationaux, équipes de réponse à incident, CERT, chercheurs en sécurité professionnels ou « amateurs », groupes cybercriminels concurrents, etc.Nous nous proposons de décrire dans cet article comment les cybercriminels construisent leurs politiques de sécurité afin de protéger leur « business » et leur identité, comment ils y parviennent et comment ils échouent parfois.

Ajouter à une liste de lecture

Et vous, vous avez quoi dans vos logs ?

MISC

n°

septembre 2013

Par

Les auteurs ont collaboré sur un projet SIEM « Infrastructures » pour un grand groupe français, pendant plusieurs années. Ce retour d'expérience met en exergue les facteurs de réussite, qu'ils soient techniques ou organisationnels. Cet article est garanti « 100 % product-less » ;-)

Ajouter à une liste de lecture

Plus d'article de cet auteur

Les derniers articles Premiums

Les derniers articles Premium

Stubby : protection de votre vie privée via le chiffrement des requêtes DNS

Contenu Premium

Par

Brocas Christophe

Sécurité système

Depuis les révélations d’Edward Snowden sur l’espionnage de masse des communications sur Internet par la NSA, un effort massif a été fait pour protéger la vie en ligne des internautes. Cet effort s’est principalement concentré sur les outils de communication avec la généralisation de l’usage du chiffrement sur le web (désormais, plus de 90 % des échanges se font en HTTPS) et l’adoption en masse des messageries utilisant des protocoles de chiffrement de bout en bout. Cependant, toutes ces communications, bien que chiffrées, utilisent un protocole qui, lui, n’est pas chiffré par défaut, loin de là : le DNS. Voyons ensemble quels sont les risques que cela induit pour les internautes et comment nous pouvons améliorer la situation.

Ajouter à une liste de lecture

Surveillez la consommation énergétique de votre code

Contenu Premium

Par

Beuret Stéphane

Système

Être en mesure de surveiller la consommation énergétique de nos applications est une idée attrayante, qui n'est que trop souvent mise à la marge aujourd'hui. C'est d'ailleurs paradoxal, quand on pense que de plus en plus de voitures permettent de connaître la consommation instantanée et la consommation moyenne du véhicule, mais que nos chers ordinateurs, fleurons de la technologie, ne le permettent pas pour nos applications... Mais c'est aussi une tendance qui s'affirme petit à petit et à laquelle à terme, il devrait être difficile d'échapper. Car même si ce n'est qu'un effet de bord, elle nous amène à créer des programmes plus efficaces, qui sont également moins chers à exécuter.

Ajouter à une liste de lecture

Donnez une autre dimension à vos logs avec Vector

Contenu Premium

Par

Beuret Stéphane

Système

Avoir des informations précises et détaillées sur ce qu’il se passe dans une infrastructure, et sur les applications qu'elle héberge est un enjeu critique pour votre business. Cependant, ça demande du temps, temps qu'on préfère parfois se réserver pour d'autres tâches jugées plus prioritaires. Mais qu'un système plante, qu'une application perde les pédales ou qu'une faille de sécurité soit découverte et c'est la panique à bord ! Alors je vous le demande, qui voudrait rester aveugle quand l'observabilité a tout à vous offrir ?

Ajouter à une liste de lecture

Écriture d’une API REST en Python : sécurisation des requêtes Flask RESTful

Contenu Premium

Par

Colombo Tristan

Code

Créer une API REST, c’est bien, mais la sécuriser, c’est mieux. Dans cet article, nous allons aborder le problème de la sécurisation des requêtes au sein d’une API REST élaborée à l’aide du framework Flask RESTful.

Ajouter à une liste de lecture

Les listes de lecture

Python niveau débutant

9 article(s) - ajoutée le 01/07/2020

Code

Vous désirez apprendre le langage Python, mais ne savez pas trop par où commencer ? Cette liste de lecture vous permettra de faire vos premiers pas en découvrant l'écosystème de Python et en écrivant de petits scripts.

Au pays des algorithmes

11 article(s) - ajoutée le 01/07/2020

Algo

La base de tout programme effectuant une tâche un tant soit peu complexe est un algorithme, une méthode permettant de manipuler des données pour obtenir un résultat attendu. Dans cette liste, vous pourrez découvrir quelques spécimens d'algorithmes.

Analyse de données en Python

10 article(s) - ajoutée le 01/07/2020

Code

À quoi bon se targuer de posséder des pétaoctets de données si l'on est incapable d'analyser ces dernières ? Cette liste vous aidera à "faire parler" vos données.

Voir les 125 listes de lecture

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous