Comment bien choisir votre sandbox pour analyser les virus?

Ce n’est un secret pour aucun analyste en cybersécurité : des outils de travail efficaces sont la clé pour bien réussir à assurer une bonne protection contre les virus.

Ces dernières années, pour faire face à l’augmentation du nombre des cyberattaques, de plus en plus de sociétés se munissent de plateforme d’analyse de virus intelligente (Sandbox) pour automatiser le traitement de fichiers suspects. Le but de cette plateforme est de permettre aux analystes de gagner du temps en les soulageant des tâches complexes et chronophages.

Qu’est-ce que l’analyse de virus ?

L’analyse de virus consiste à utiliser des outils et des procédures pour comprendre le comportement d’un fichier suspect. Le but étant d’obtenir un verdict sur la dangerosité de celui-ci, en l’analysant dans un environnement isolé.

Cela permet aux analystes de comprendre les fonctions, les objectifs et l’impact potentiel du virus. Pour y parvenir, les équipes de sécurité utilisent des outils qui analysent les logiciels malveillants.     

A quoi va me servir une Sandbox ?

Une sandbox est un environnement composé d’un serveur et d’une ou plusieurs machines d’analyses isolées du reste du réseau de l’entreprise.

Elle va permettre à un utilisateur de soumettre au serveur un fichier suspect. Le système va exécuter et monitorer automatiquement le fichier sur une machine d’analyse. Celle-ci est un système d’exploitation dédié à l’exécution de virus se rapprochant le plus possible des ordinateurs bureautiques utilisés par les employés de l’entreprise.  L’objectif étant de duper les virus intelligents qui cherchent à se détonner seulement s’ils sont lancés sur un ordinateur particulier (Sandbox évasions). 

Cet outil permet de réaliser de l’analyse dynamique, contrairement aux logiciels antivirus classiques qui se basent eux sur de l’analyse statique. L’analyse dynamique est une méthode qui consiste à exécuter le fichier que l’on souhaite diagnostiquer. Cela permet d’étudier le comportement du fichier dans un environnement réel, isolé et sécurisé et d’obtenir ainsi des informations très détaillées sur la nature de ces interactions avec le système d’informations afin d’avoir un verdict clair sur sa dangerosité.

Un environnement sandbox peut permettre d’obtenir par exemple la liste des processus lancés par le logiciel, une copie de la RAM, les échanges réseaux, les appels systèmes, ou bien les interactions avec le disque dur.

Une sandbox est un outil très intéressant pour lutter contre les « 0 days », c’est-à-dire les vulnérabilités récentes, non connues par les antivirus.

Comment choisir sa sandbox ?

Il existe plusieurs critères à prendre en compte pour le choix de votre sandbox, comme : le type de technologies utilisées, la montée en charge, le type de fichiers supportés, sa capacité d’analyse ou bien la qualité des rapports fournis.

Il existe trois grandes familles de sandbox :

• Les sandbox basées sur des « agents », installés sur le Système d’exploitation, les sandbox niveau hyperviseur et les sandbox en ligne.

• Les sandbox avec des agents potentiellement détectables, car elles fonctionnent au niveau utilisateur contrairement aux sandbox de deuxième génération qui sont au niveau hyperviseur. Cette technologie plus moderne permet un contrôle de la donnée plus poussée, car sur un plus bas niveau architectural. Un exemple de ce type de sandbox est la solution VM-Ray Analyzer proposée par l’entreprise VM-Ray. 

• Les sandbox en ligne, quant à elles, sont intéressantes, car elles ne nécessitent aucune installation, mais sont moins modulables que celles à installer soi-même. AnyRun, par exemple, est une référence des sandbox en ligne. AnyRun permet même d’interagir avec le système d’exploitation, ce qui est très pratique dans le cas où le fichier analysé nécessite d’avoir des interactions humaines comme pour remplir un formulaire ou cliquer sur des boutons.

Les bonnes sandbox sont majoritairement payantes avec un forfait basé sur le nombre d’analyses réalisées, mais il existe cependant quelques projets open source sur le marché comme : CAPEv2 (pour Malware Configuration And Payload Extraction) qui est une sandbox basée sur un agent créé par Doomedraven et Kevin O’Reilly dérivé du projet communautaire Cuckoo. Capev2 est un projet mature disposant d’une communauté active qui contribue à améliorer la sandbox de jour en jour.