Dynamic Malware Analysis for dummiesPhilippe Lagadec

L'analyse de codes malveillants est aujourd'hui devenue une activité très importante dans le cadre de la gestion des incidents de sécurité informatique. Les organisations qui prennent sérieusement en compte la sécurité de leurs réseaux sont souvent confrontées a des fichiers suspicieux capturés grâce à leurs antivirus, IDS et systèmes de supervision sécurité, ou encore lors d'analyses forensics. Il est alors nécessaire d'analyser rapidement ces fichiers pour déterminer s'il s'agit d'un code malveillant connu, d'une attaque ciblée ou bien d'une fausse alerte. Connaître le comportement d'un code malveillant est capital pour déterminer si d'autres machines sur le réseau peuvent être compromises ou non.

L'analyse statique de code exécutable par désassemblage a beaucoup de succès parmi les experts en sécurité, cependant la complexité de ce processus demande un long apprentissage et beaucoup d'énergie. De plus il n'est pas rare de rencontrer des codes malveillants protégés contre le désassemblage, ce qui peut ralentir considérablement l'analyse.

L'analyse dynamique de code malveillant consiste à faire exécuter un échantillon de code sur une plate-forme conçue pour observer toutes ses actions. Dans la plupart des cas, c'est une méthode très efficace et rapide pour déterminer la nature et le comportement du code malveillant, au moins dans une première approche.

Cet article et la présentation associée décrivent comment il est possible d'installer facilement et à moindres frais un modeste laboratoire d'analyse dynamique de code malveillant, même sans aucune compétence en désassemblage.