Comment préanalyser plus finement des échantillons d’une même famille de malware afin de bien démarrer l’analyse d’un corpus important ? Présentation d’une approche par catégorisation.
Il devient de moins en moins rare de devoir analyser des centaines d’échantillons de malware, ce qui rend nécessaire l’utilisation de techniques d’analyse automatique au moins au début du travail. Des techniques de catégorisation (par exemple selon les fonctionnalités du malware : loader, rootkit, spyware, etc.) permettent déjà d’obtenir un certain aperçu, mais ces catégories sont trop grossières pour être utiles dans le cas qui nous intéresse dans cet article : celui où tous les échantillons appartiennent à la même famille de malware (ils appartiennent donc tous à la même catégorie, ce qui n’est pas très intéressant !).
L’équipe de reverse d’Oppida s'est récemment vue demander une telle analyse. Les 200 échantillons provenant de la même famille, il n'était pas possible ni intéressant de tous les analyser en profondeur : ce serait refaire un long travail de nombreuses fois, alors que les fonctionnalités à rétroconcevoir sont très similaires. Pour 200…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première