Comment la technologie WildFire a permis de détecter la menace d’un CV malveillant transmis par e-mail ?

Comment la technologie WildFire a permis de détecter la menace d’un CV malveillant transmis par e-mail ?

Le service d’analyse WildFire est un moteur d’analyse heuristique de prévention des exploits et des logiciels malveillants inconnus. Le service est généralement basé sur le cloud (disponible via un cloud américain ou européen au choix ) mais également disponible en version on premise. WildFire utilise une approche multi-technique unique combinant une analyse dynamique et statique, pour détecter et prévenir même les menaces les plus évasives.

Cette technologie est une option disponible pour les pare feux Paloalto et pour l’antivirus de Paloalto « TRAPS ».

Concrètement comment ça marche ?

—> Un fichier malveillant est transmits par mail en pièce jointe.

Le pare-feu envoie automatiquement  tous les fichiers inconnus (dont le hash n’existe pas en base ) à WildFire pour analyse au moment où il pénètre dans le réseau.

WildFire récupère le fichier transmis :

 

Dans un premier temps, WildFire effectue une analyse statique :

WildFire détecte deux éléments suspicieux :  

-Le document contient une macro* :

*Une macro est un script exécuté dans le document contenant. Les macros sont généralement écrites en VBA (Visual Basic for Applications) et souvent utilisées dans des documents Microsoft Word et des feuilles de calcul Microsoft Excel. Les macros sont un vecteur commun pour exploiter les vulnérabilités dans les applications Microsoft Office.

-Le document contient un fichier intégré* :

*Les images, les documents, les supports Flash et d’autres fichiers peuvent être incorporés dans des documents CDF pour l’affichage et la lecture en ligne. Les fichiers intégrés de cette manière sont un vecteur commun pour exploiter les vulnérabilités dans les applications Microsoft Office et les plug-ins d’applications.

Cette première analyse statique permet de déterminer si une analyse dynamique est nécessaire. Ici le fichier contient des macros la seconde analyse est donc nécéssaire.

Dans un second temps WildFire effectue une analyse dynamique :  

L’analyse dynamique observe le fichier en l’exécutant dans un environnement virtuel situé dans le cloud ou sur l’appliance WildFire selon l’option choisie. Cet environnement est résistant à l’évasion personnalisée, il permet la détection de logiciels malveillants et d’exploits,  en utilisant des centaines de caractéristiques comportementales.

Cette analyse s’effectue sur deux machines virtuelles configurées de différentes manières.

Lors de cette analyse, WildFire procède à une analyse comportementale du fichier et liste toutes ses actions tout en évaluant leur gravité.

Ici on peut voir entre autres que le fichier télécharge un exécutable avec une mauvaise extension, se connecte à une IP déjà répertoriée par Paloalto comme malicieuse, modifie le fichier de démarrage automatique du système.

WildFire liste aussi toute l’activité réseau instancié par le fichier requêtes DNS , HTTP et les adresses IP vers lesquelles le fichier tente de se connecter.

Enfin WildFire récapitule les activités de l’hôte par processus : 

Un tableau détaille aussi chaque :

–   Activité de fichier

–   Activité  sur le registre

–   Création de mutex

A la fin de ces analyses WildFire établit un verdict  :

C’est un malware. L’administrateur reçoit donc une alerte concernant le fichier qui vient d’être téléchargé. L’administrateur peut accéder au récapitulatif du test via son espace personnel.

De surcroit dans les 1min, le hash du fichier et toutes les IP malveillantes vont être ajoutés à la base antivirale WildFire. Ce qui permet de protéger tous les autres utilisateurs de WildFire qui recevraient eux aussi ce fichier.

Le  cas des menaces évasives déployant des systèmes d’analyse anti machine virtuelle est traité, par un système envoyant automatiquement le fichier à un environnement matériel réel pour la l’analyse dynamique. Eliminant entièrement la capacité du malware à déployer des techniques de détection de honeypot (exécution dans une machine virtuelle par exemple).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *