L’analyse des logiciels malveillants consiste à identifier et à analyser les fichiers suspects sur les terminaux et au sein des réseaux à l’aide de fonctionnalités d’analyse dynamique, d’analyse statique ou d’ingénierie inverse complète.

Une pratique solide d’analyse des logiciels malveillants facilite l’analyse, la détection et la limitation des menaces potentielles. L’analyse des logiciels malveillants peut aider les entreprises à identifier les objets malveillants utilisés dans les attaques avancées, ciblées et de type zero-day

L’analyse des logiciels malveillants est importante, car elle permet aux équipes responsables des opérations de sécurité de détecter rapidement les objets malveillants afin d’empêcher qu’ils ne persistent et provoquent des destructions au sein de l’entreprise.

Il existe deux principaux types d’analyse des logiciels malveillants :

1. L’analyse statique examine les fichiers à la recherche de tout signe d’intention malveillante sans exécuter le programme. Cette formule peut également demander un examen manuel par un professionnel de l’informatique après l’examen initial en vue d’une analyse plus approfondie de l’interaction du logiciel malveillant avec le système. L’analyse de document statique recherche les anomalies dans le fichier lui-même, et non dans son mode d’exécution.

Elle cherche à répondre à des questions telles que les suivantes :

• Y a-t-il des anomalies structurelles telles que du code de shell intégré, des macros anormales ou d’autres programmes exécutables qui ne seraient normalement pas présents dans un document de ce type ?
• Est-ce que des segments sont manquants ou ajoutés dans le document ?
• Y a-t-il des fichiers intégrés ?
• Y a-t-il des fonctionnalités de chiffrement, d’empreintes digitales ou autres fonctionnalités suspectes ?
• Est-ce qu’un élément du document semble tout simplement étrange ?

2. L’analyse dynamique s’appuie sur un système fermé (appelé « sandbox ») pour lancer le programme malveillant dans un environnement sécurisé afin d’observer simplement ses actions. L’environnement d’inspection simule un hôte entier (notamment CPU, la mémoire système et tous les terminaux) pour observer en continu toutes les opérations que les objets malveillants peuvent exécuter. Ce système automatisé permet aux professionnels de surveiller le logiciel malveillant sans le laisser infecter leur système. L’analyse dynamique interagit avec le logiciel malveillant pour identifier tous les comportements malveillants et prend en charge l’automatisation, des résultats rapides et précis, ainsi que l’identification et l’analyse des zones obscures au sein de l’infrastructure d’une entreprise

3. L’ingénierie inverse d’un logiciel malveillant consiste à désassembler (et parfois décompiler) un programme logiciel. Par l’intermédiaire de ce processus, les instructions binaires sont converties en mnémoniques de code (ou en structures de niveau supérieur) qui permettent aux ingénieurs d’observer le fonctionnement du programme et de déterminer les systèmes sur lesquels il agit. Ce n’est qu’en connaissant ses détails que les ingénieurs sont en mesure de créer des solutions qui peuvent atténuer les effets malveillants attendus du programme. Un ingénieur inverse (ou « inverseur ») utilise toute une gamme d’outils pour découvrir comment un programme se propage dans un système et ce pour quoi il est conçu. Ce faisant, l’inverseur est alors informé des vulnérabilités que le programme avait l’intention d’exploiter

VMware NSX Network Detection and Response (NDR) offre des fonctionnalités avancées d’analyse des logiciels malveillants via un sandbox d’émulation du système complet qui affiche toutes les interactions des logiciels malveillants au sein d’un système d’exploitation, y compris les comportements d’évitement, et offre une visibilité étendue sur tous les objets qui traversent le Data Center grâce à des techniques avancées d’IA.

VMware fournit également une solution on premise de recherche de menaces et de réponse aux incidents via des fonctionnalités de détection et réponse des terminaux (EDR) en continu. La solution EDR de VMware offre également une visibilité sur les environnements hors ligne. Elle enregistre et stocke en permanence les données d’activité des terminaux pour que les professionnels de l’informatique puissent cibler les menaces en temps réel.