De nouvelles menaces apparaissent régulièrement et la détection par similarité à partir d’anciennes menaces connues ne fonctionne pas dans le cas de menaces vraiment nouvelles. L’idée de l’analyse comportementale est de détecter un malware non pas par une analyse de similarité de son code binare, qui peut beaucoup varier, mais par son activité sur la machine.
Nous nous intéressons particulièrement aux malwares de type Wipers et Ransomware. Les Wipers ont en commun qu’ils ont pour objectif d’effacer toutes les données d’une machine cible, et ce de façon à ce que cela soit permanent, le but étant de paralyser une administration, ou d’entrainer une importante perte financière. Les Ransomwares sont très proches des Wipers, leur objectif est de rendre les données d’un poste inutilisables, en les chiffrant, et de demander une rançon à l’utilisateur ou l’entreprise en échange d’un déchiffrement des données.
Ces types de malware vont donc affecter le système de fichier soit en écrasant les données du disque soit en les chiffrant. Ils ont l’avantage, pour nous, d’avoir ce comportement très spécifique.
Afin d’analyser le comportement de ces types de malware il faudra analyser leur interaction avec le système de fichier, à travers des appels système d’ouverture de fichier par exemple. Pour pouvoir capturer ce type de comportements, il faudra executer ces programmes malveillants dans des environnements supervisés. Une instrumentation classique ou une introspection permettent d’ajouter des vérifications additionnelles lors d’appels systèmes par exemple. Cela permet de monitorer toutes les modifications sur le système de fichiers.
Matériel : Il sera fourni des environnements de sandboxing, ainsi que des échantillons de différents malware et fichier sains.
Objectifs :
- Décrire un comportement récurrent chez les Wipers ou les Ransomwares.
- Réaliser un détecteur de Wiper ou de Ransomware permettant de détecter des malware échantillons
- Vérifier expérimentalement la portée de la méthode