Analyse de Malware

Pourquoi C'est Important

Les menaces modernes livrent du malware sur mesure ou évoluant rapidement plus vite que les éditeurs ne signent. Quand un endpoint signale un binaire suspect ou que la réponse à incident trouve un exécutable inconnu, l'analyse convertit un échantillon en IOCs, patterns comportementaux et détections.

L'analyse de NotPetya en 2017 a révélé un wiper destructeur, pas un ransomware. Le reverse de Stuxnet a exposé une capacité d'État. L'analyse de SUNBURST de SolarWinds a produit des détections utilisées dans le monde entier.

Le Flux

1. Triage

• Recherche de hash sur VirusTotal, MalwareBazaar
• Identification du type et architecture
• Strings et entropie pour détecter le packing
• Correspondances AV/EDR

2. Analyse Statique

file suspect.exe
strings -n 8 suspect.exe
sha256sum suspect.exe
exiftool suspect.exe
yara regles.yar suspect.exe
capa suspect.exe

Cherchez les imports suspects (VirtualAllocEx, WriteProcessMemory, CreateRemoteThread), ressources embarquées et indices de packing.

3. Analyse Dynamique

Exécutez en environnement isolé et observez l'arbre de processus, écritures fichiers, modifications registre, comportement réseau, mutex. Sandboxes : Cuckoo, Any.run, Joe Sandbox, Hybrid Analysis.

4. Analyse de Code

• IDA Pro : standard
• Ghidra : alternative NSA gratuite
• Binary Ninja : UI moderne
• x64dbg / WinDbg : debug dynamique

Récupère les algorithmes, techniques d'évasion et empreintes uniques.

Techniques Anti-Analyse

Sorties

Standards

• MITRE ATT&CK, MAEC, STIX/TAXII
• YARA : pattern matching
• Capa : capacités

Meilleures Pratiques

1. VMs isolées avec snapshot/revert.
2. Segments réseau d'analyse avec Internet simulé.
3. Tout hasher et documenter.
4. Limiter le temps d'analyse profonde.
5. Partager les findings (MISP, MalwareBazaar).
6. Mapper à ATT&CK.

Concepts Liés

• Malware
• Threat Hunting
• Threat Intelligence
• Réponse à Incident