Innovation disruptive en cybersécurité – Centre de données| Cloud Computing | Centre de données

  • FrançaisFrançais



  • Le système d’analyse dynamique des logiciels malveillants par BitNinja

    L’épidémie de COVID-19 a accéléré la croissance du trafic Internet. Le nombre de sites Web augmente rapidement et il y a plus d’entreprises de commerce électronique que jamais. Par conséquent, les sociétés d’hébergement Web partagées font un commerce effréné. Mais malheureusement, ce ne sont pas les seuls chiffres qui augmentent. Les cyberattaques sont également en augmentation et aucune entreprise n’est à l’abri de nos jours. À l’heure actuelle, la cybercriminalité est l’un des crimes économiques les plus fréquemment signalés dans les organisations, ce qui fait de la cybersécurité une préoccupation au niveau de la direction et du conseil d’administration.

    Aujourd’hui, nous allons parler de la façon de détecter et de supprimer les logiciels malveillants masqués des serveurs d’hébergement Web partagés.

    Qu’est-ce qu’un logiciel malveillant masqué?

    La technique d’obfuscation est pour cacher le véritable objectif d’un programme. Le pirate crée un code qui n’est pas lisible par les humains, mais la fonctionnalité qui le sous-tend reste la même. Ainsi, lorsque vous exécutez le programme, il se comporte comme le programme encapsulé pour lequel il a été conçu.

    Comment analyser différents types de logiciels malveillants

    Il existe deux types d’analyses différents lorsque nous parlons de logiciels malveillants: statique et dynamique.

    Analyse statique

    L’analyse statique comprend des algorithmes de hachage, la correspondance de chaînes, la détection basée sur le code, et il y a un nouvelle technique en instance de brevet inventé par George Egri (co-fondateur et PDG de BitNinja), les analyse de la structure du code source.

    Type de signature Exemple
    MD5 / SHA2 / SHA3 5d41402abc4b2a76b9719d911017c592
    Correspondance de chaîne eval (base64_decode (
    Basé sur le code si la première ligne commence avec beaucoup d’espace et…
    SA-MD5 Correspondance structurelle complète
    SA-SNIPPET Correspondance structurelle partielle

    Cela crée une signature spéciale basée sur la structure à partir du code source, puis effectue la correspondance sur la structure. De cette façon, quelle que soit la façon dont la source est modifiée, la structure sera la même. C’est très similaire au fonctionnement des systèmes de vérification du plagiat.

    Analyse dynamique

    Mais revenons aux types d’analyses. Outre l’analyse statique, il y a l’analyse dynamique. Lors de l’utilisation de l’analyse dynamique, vous exécutez le code source partiellement ou entièrement et observez le comportement du programme.

    Désobfuscation

    Vous pouvez voir l’obscurcissement de l’évaluation dans la capture d’écran ici.

    L’une des méthodes d’analyse du comportement est la désobfuscation. Si tu trouver le mécanisme d’obscurcissement, vous pouvez désobfusquer le code. Après cela, vous pouvez décapsuler le vrai programme et faire correspondre le code source désobfusqué. Mais croyez-moi, il existe trop de techniques d’obfuscation différentes. Donc, Ce n’est pas si facile pour désobfusquer le code, et il y a d’autres aspects qui sont difficiles à analyser sans exécuter partiellement le code.

    Production

    Une autre technique est de la sortie lorsque vous analyser la sortie du programme. La plupart du temps, lorsque vous exécutez des logiciels malveillants, vous pouvez trouver des traces de comportement malveillant de la sortie.

    Appels de fonction

    Dans les limites de l’analyse des «Appels de fonction», vous exécutez le code et vous trouverez quelles fonctions sont utilisées pour les activités malveillantes.

    Contenu variable

    Le prochain est l’analyse du contenu variable. Ce programme contient quelque chose de «phishy», comme vous pouvez le voir sur l’image. C’est toujours méfiant lorsqu’un code source comprend les noms de fonctions comme exploser et les commandes de base utilisées pour décoder des noms de variables intéressants.

    Manipulation de fichiers

    Il peut se produire avec de vrais fichiers ou dans un environnement simulé pour analyser en toute sécurité les manipulations de fichiers.

    Exécution multi-chemins

    Enfin, vous pouvez effectuer une exécution multi-chemins lorsque vous analysez ce qui se passerait si vous forciez l’interpréteur dans une branche de code. De cette façon, vous pouvez trouver des parties de code verrouillées, et cette technique est également très utile pour découvrir les comportements malveillants.

    Comment utiliser ces techniques

    La vieille école

    Bac à sable est une façon d’utiliser ces techniques si vous disposez de quelques serveurs spéciaux à cet effet.

    Ces serveurs peuvent faire tourner des serveurs virtuels, et vous téléchargez le fichier PHP dessus, exécutez le code et effectuez les méthodes d’analyse mentionnées ci-dessus. L’inconvénient de cette technique est qu’il faut environ 20 secondes pour analyser un fichier PHP. L’analyse de tous vos fichiers PHP prennent beaucoup de temps et consomment trop de ressources.

    La nouvelle façon

    BitNinja a construit un Simulateur PHP. C’est un environnement sûr où vous pouvez exécuter partiellement des fichiers PHP sur le serveur et exécuter toutes les analyses dont nous parlions. Avec cette fonctionnalité, vous pouvez analyser les anciens fichiers PHP sur les serveurs et peut découvrir la plus récente malware zero-day, même s’ils sont obscurcis.

    Comment sécuriser les serveurs d’hébergement Web partagés?

    Vous avez besoin de différentes solutions contre les attaques DoS, la force brute, les botnets, les analyses de vulnérabilité, les portes dérobées et la liste est presque sans fin. La meilleure façon de sécuriser vos serveurs est de mettre en place un système de défense multicouche qui arrête les attaques sur chaque couche.

    C’est exactement ce que propose BitNinja. Vous pouvez l’installer avec un code sur une ligne, puis vous disposez d’un système complexe de couches allant de la réputation IP en temps réel aux pots de miel, à la détection DoS, au WAF, à l’analyse des journaux et, bien sûr, à la détection des logiciels malveillants.

    About George Egri, CEO, BitNinja
    George Egri is a cybersecurity and web-hosting expert. He is the co-founder and CEO of BitNinja and the owner of the second-largest shared-hosting company in Hungary, the Web-Server Ltd. Some years ago, they had a lot of customer complaints because of hacked websites. They tried to combine the different tools on the market to secure their servers against the different kinds of cyberattacks, but after a while, it became unmanageable. So, they decided to solve this problem by creating an internal all-in-one solution. This project was the ancestor of BitNinja. They realized that it could be beneficial not just for them but also for the shared hosting industry and the whole Internet. Therefore, they started to establish their resources in BitNinja and make the Internet a safer place.

    Source

    N'oubliez pas de voter pour cet article !
    1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
    Loading...

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.