5.3.5. Ecran `Analysers` de la Web UI

Cet écran affiche les états des différents moteurs d'analyse.

Après appui sur la commande `Analysers`, l'écran suivant est affiché.

../../_images/GBOX_ANALY_01.PNG

Repère

Moteur

Fonction du moteur

1

Moteur Grip

Analyse statique

2

Moteur Goasm

Détection des shellcodes

3

Moteur Gdgadetect

Détection de noms de domaine

4

Moteur Gnest

Analyse dynamique dans une machine virtuelle

5

Moteur Gmalcore

Analyse statique et heuristique

Pour chacun des moteurs, les informations suivantes sont affichées :

../../_images/GBOX_ANALY_02.PNG

Repère

Nom

Moteur Grip

Moteur Goasm

Moteur Gdgadetect

Moteur Gnest

Moteur Gmalcore

1

Type

Analyse statique

Détection des shellcodes

Détection de noms de domaine générés par des DGA (Domain Generation Algorithm)

Exécute le fichier dans une machine virtuelle et analyse son comportement

Analyse statique et heuristique multi-moteurs

2

Capacités

Analyse

Donne un score de la dangerosité potentielle et nomme le shellcode détecté

Donne un score de compromission

Nomme le problème détecté

Donne un score de la dangerosité potentielle et nomme le problème détecté

3

Config

Non configurable donc ce champ n'est pas affiché

Gestion des machines virtuelles (ajout, suppression, historisation)

Gestion des moteurs de Gmalcore

4

x jobs : nombre de tâches en cours (statut de l'analyse NEW + IN PROGRESS)

Nombre de tâches en attente de traitement

5

Capacité à effectuer des analyses

Ce moteur n'a pas d'exigences donc toujours à l'état `ready`
Le moteur est à l'état `ready` s'il y a le même nombre de VM dans la GBox
et dans CAPE (le moteur d'analyse dynamique)
Le moteur est à l'état `ready` si tous les moteurs sont installés
et l'API est up

6

Etat du moteur

UP : l'api du moteur est en écoute : DOWN : l'api du moteur est non actif

Astuce

Si l'état du moteur (Grip, Goasm, Gdgadetect ou Gnest) est `DOWN`, attendre un moment.
Si le moteur reste dans l'état `DOWN`, contacter le support de Gatewatcher.

Astuce

Si l'état du moteur Gmalcore est `DOWN`, redémarrer le service Malcore (ou Réinstaller le service Malcore): voir la Commande `Services`.
Si le moteur reste dans l'état `DOWN`, contacter le support de Gatewatcher.
L'état `Not Ready` pour le moteur Gmalcore ne signifie pas forcément que ce dernier n'est pas en capacité d'effectuer des analyses mais indique qu'au moins un des 16 moteurs antivirus n'est pas à jour ou est hors service.

5.3.5.1. Moteur Grip

Il est cependant utile pour analyser rapidement les métadonnées d'un fichier qualifié comme suspicious ou malicious.
Il est utilisé pour avoir des informations sur le fichier en amont d'analyse plus approfondies.
Ces données sont affichées dans le rapport détaillé et plus précisément dans les sections TOP et Static (voir le Rapport détaillé)

Taille maximum de fichier

50 MO

Timeout d'analyse

2 minutes

Type

léger

5.3.5.1.1. Visualisation de l'état de Grip

5.3.5.2. Moteur Goasm

Ce moteur d'analyse permet la détection et l'analyse de shellcodes.
Il permet l'identification de certains encodages et permet de détailler les appels système effectués.
Ce moteur donne un score de la dangerosité potentielle et nomme le shellcode détecté.
Ces données sont affichées dans le rapport détaillé et plus précisément dans les sections TOP, Shellcode (voir le Rapport détaillé).

Taille maximum de fichier

50 Mo

Timeout d'analyse

4-6 minutes

Type

rapide
Goasm peut être considéré comme rapide pour des petits fichiers (< 5Mo).
En cas de gros fichiers texte (> 5 Mo), la détection prend du temps car il faut parcourir le binaire à la recherche de pattern de shellcodes.
Le timeout d'analyse interne à Goasm peut donc être atteint : 4 min.
Le timeout externe au moteur, lui, est fixé à 6 min.
En cas de timeout interne :

  • il y a un message d'erreur dans la partie `Shellcode` du rapport

  • le moteur arrête juste de parcourir octet par octet le fichier

En cas de timeout externe (erreur survenue ou Goasm bloqué), une erreur est présente dans le rapport mentionnant un timeout (dans ce cas, relancer l'analyse).

5.3.5.3. Moteur Gdgadetect

5.3.5.3.1. Présentation de l'algorithme DGA

La GBox embarque un moteur capable de détecter des noms de domaines ayant été générés par des DGA (Domain Generation Algorithm).
La présence de noms de domaines générés par DGA sur un réseau est un fort indicateur de compromission.
En effet, les logiciels malveillants peuvent utiliser des requêtes HTTP vers des noms de domaine générés automatiquement, afin de contacter leurs serveurs de commande et de contrôle (aussi appelés CnC, C&C ou C2).
Ces noms de domaine ont des propriétés différentes des noms de domaines légitimes.
Les approches classiques de détection comme les listes noires ne sont pas pertinentes dans le cas de domaines renouvelés en permanence.
Les simples calculs d'entropie génèrent une grande quantité de faux positifs.

5.3.5.3.2. Analyse

Le Machine Learning est basé sur un modèle pré-entraîné, dont l'architecture est basée sur un réseau de neurones profond de type LSTM (Long Short Term Memory networks).

5.3.5.3.3. Affichage des alertes DGA

L'analyse se fait dans la page `Quick analysis`.
En fonction du résultat, une icône verte ou rouge indique si c'est un DGA ou non.

5.3.5.4. Moteur Gnest

Le moteur d'analyse Gnest permet une analyse dynamique.
Il exécute le fichier dans une machine virtuelle (sandbox) et analyse son comportement.
Suite à cela, il est possible d'extraire les données générées lors de l'analyse comme un dump de la mémoire, les chaînes de caractères extraites, ou une capture des communications réseau (pcap).
Dans le cas d'un fonctionnement connecté au GCenter, ce moteur est utile pour analyser en profondeur un fichier qualifié de suspicious ou malicious, lors d'une seconde analyse d'un fichier.
Cette analyse est plus lente et requiert un opérateur de niveau confirmé afin d'analyser les résultats produits.
Ces données sont affichées dans le Rapport détaillé et plus précisément dans les sections TOP, Iocs, Ttps, Overview, Signatures et Process Tree.

Taille maximum de fichier

50Mo

Timeout d'analyse

1 heure

Type

lent

5.3.5.5. Ecran `Gnest configuration`

Cet écran permet de gérer les machines virtuelles du moteur Gnest.
Après appui sur le lien du moteur Gnest, l'écran suivant est affiché.
../../_images/GBOX_ANALY_04.PNG

Repère

Description

1
Zone `Manage virtual machines` : cette zone permet de créer de nouvelles machines virtuelles
Cette zone comprend :

2

  • `Machine(s) base name`

Nom de base de la (ou des) machine(s) virtuelle(s) (VM)

3

  • champ `Machine(s) count`

Nombre de machine(s) à créer

6

  • bouton `ADD`

Lance la création de machine(s) virtuelle(s)

4

Bouton `BATCH DELETE`

Permet de supprimer une ou plusieurs VM

5

Bouton `HISTORY`

Affiche la fenêtre de l'historique de la gestion des VMs

10

Nom `Default` : machine virtuelle existante et nom de la machine par défaut. Elle comprend les informations suivantes

9

  • champ `Memory`

Valeur de la quantité de mémoire attribué à la VM

7

  • champ `CPU`

Valeur de la quantité de processeur attribuée à la VM

8

  • bouton `Delete this machine`

Supprime la machine sélectionnée
L'ajout / suppression de VMs attend que les analyses Gnest en cours soient finies et bloque les prochaines analyses.
Cependant, si le modèle d'une VM est supprimé alors que des jobs sont en attente, ceux-ci passeront en erreur.
La mise en œuvre est donnée dans la Procédure de configuration du moteur Gnest.

5.3.5.6. Moteur Gmalcore

  • la détection des malwares par une analyse statique et heuristique multi-moteurs en temps réel des fichiers

  • l'analyse via 16 moteurs Anti-Virus

  • une performance d’analyse proche de 200000 fichiers par 24h

  • d'obtenir le ou les noms de la menace ainsi qu'un score de menace

  • une identification rapide des menaces

Les 16 moteurs antivirus sont affichés sous le nom engine hash dans l'interface Web ui.

Taille maximum de fichier

50 Mo

Timeout d'analyse

2 minutes

Type

léger
Les événements générés par Gmalcore sont indiqués dans la partie `Heuristic` du rapport d'analyse de la GBox.

5.3.5.7. Ecran `Gmalcore configuration`

Cet écran donne les informations de la configuration du moteur Gmalcore :

  • l’état des moteurs Gmalcore

  • la date de la dernière mise à jour installée

Après appui sur le lien `Config` du moteur Gmalcore, l'écran suivant est affiché.
../../_images/GBOX_ANALY_03.PNG

Repère

Moteur

Fonction

1

Message de l'état de la configuration
`Engine is running, but no AV found. Please update.` :
nécessite l'installation d'une mise à jour des moteurs Gmalcore

2

`ENGINES STATUS`

Cette zone permet d'afficher l'état des moteurs antivirus avec les informations suivantes :

3
  • icônes de couleurs.
    Chaque moteur est précédé d'une icône indiquant l'ancienneté de la mise à jour des signatures des moteurs

7

  • `ENGINE HASH`. Les 16 moteurs antivirus sont affichés sous le nom "engine hash"

6

  • `LAST UPDATE`. Date de la dernière mise à jour (update)

5

  • `STATUS`. Icône indiquant l'état et ancienneté de la dernière mise à jour

4

  • `STATE`. Etat du moteur (PRODUCTION, DOWNLOADED...)

La mise en œuvre de la configuration de Gmalcore est donnée dans la Procédure de configuration du moteur Gmalcore.