Annonce du 03. décembre 2018

Graph Database : un atout pour l’analyse de malwares

G DATA dévoile les dessous de l'anlayse de codes malveillants

Un acteur comme G DATA se doit d’assurer une vigilance permanente pour comprendre, anticiper et réagir au plus vite quand de nouvelles menaces informatiques déferlent sur Internet. Pour ce faire, le recours au Graph Database (Bases de données orientées Graphe), constitue souvent un atout majeur.

Le quotidien d’un chercheur en sécurité informatique ou d’un analyste de menaces est une succession d’arbitrages qui conditionnent la capacité des entreprises, comme des particuliers, à résister aux programmes malveillants susceptibles d’affecter leurs ordinateurs. Pour réagir vite et de manière proportionnée, il faut être en mesure de décider dans les délais les plus brefs, de la dangerosité d’un échantillon. Si jamais la menace est avérée, il faut encore décider du traitement qui lui sera réservé. S’il s’agit d’une menace non identifiée, parfaitement nouvelle, un analyste humain devra alors la prendre en charge. Si en revanche l’échantillon peut être rattaché à une famille de menace connue, il s’agira d’améliorer des protections existantes. Comme en biologie (ou plus précisément en virologie), les mutations au sein d’une même famille de logiciels malveillants, se caractérisent par des comportements similaires ou des portions de code identiques. Leurs auteurs changent simplement des parties du binaire afin d'éviter les détections par des scanners à base de signatures statiques. Les experts de G DATA exploitent ces caractéristiques pour effectuer une classification rapide des échantillons. Mais, pour que ces classifications contribuent à une analyse plus rapide, et par conséquent à une riposte plus instantanée, les équipes s’appuient sur des bases des données orientées Graphe. 

Graph Database : Kesako ?

Une Graph Database ou base de données orientée graphe est une base de données qui présente la particularité de modéliser les données dans un graphe composé de sommets et d'arêtes. Cette représentation permet une visualisation rapide des relations, similitude et particularités communes entre des échantillons et des familles de malwares déjà connues et identifiées. Ce modèle fait des bases de données orientées graphe un outil de premier ordre quand il s’agit de rechercher des relations, entre des échantillons et des menaces. Les analystes de G DATA ont opté pour le standard TinkerPOP pour leurs Graph Databases. Fonctionnant comme un véritable standard ouvert, TinkerPOP présente non seulement l’avantage de ne pas exposer les équipes de G DATA à une solution propriétaire, tout en bénéficiant de l’innovation permanente qui caractérise un système ouvert. La base de données elle-même est assurée par JanusGraph, qui est hébergé par la Linux Foundation. Ces deux projets opensource, soutenus par une communauté ouverte et très active, agissent comme de véritables atouts pour les experts G DATA. 

Une question de méthode

Une fois les outils sélectionnés, reste à définir le meilleur moyen de les exploiter ! Lorsque les échantillons sont analysés, il s’agit de combiner des méthodes statiques et dynamiques pour en extraire le maximum d’enseignements. L’analyse dynamique consiste à recréer les conditions d’activation réelles de la menace au sein d’une sandbox. Par l’observation du programme malveillant, les analystes peuvent mieux comprendre ses mécaniques et ainsi définir les contre-mesures appropriées. Chaque échantillon traité donne lieu à la génération d’un graphique qui résume le comportement global de la menace. Tous ces graphiques sont ensuite insérés dans une base de données qui permet de générer un graphique de plus grande envergure et de synthétiser les caractéristiques de tous les échantillons observés. Ainsi, ceux qui présentent des fonctionnalités communes sont visuellement connectés. Il est alors possible d’identifier des similitudes qui créent des ramifications comparables à celles d’un arbre généalogique. Ces cousinages mettent alors en lumière des réponses possibles aux menaces. Vous voulez tout comprendre des méthodes de nos experts ? 

Stefan Hausotte, Chef d'équipe Analyse automatisée des menaces et Florian Hockmann, Chercheur en sécurité et développeur, lèvent le voile sur leurs recettes secrètes…

Media:

Annonce du 03. décembre 2018