5.2.4. Ecran `Reports` de la Web UI

5.2.4.1. Présentation de l'écran `Reports`

Après appui sur le bouton `Reports` de la barre de navigation, l'écran `Reports` est affiché.
Cet écran permet :
  • de visualiser les rapports afin de pouvoir analyser les résultats

  • les filtrer

  • exporter des rapports en format pdf

  • de télécharger le fichier analysé

../../_images/GBOX-OP15.PNG

Il comprend les éléments principaux suivants :

Repère

Nom

1

Nombre de rapports présents dans l'historique (ici 2)

2

Zone permettant la recherche dans les rapports

3

Zone de configuration

4

Zone détaillée des rapports


5.2.4.2. Zone permettant la recherche

Cette zone permet de filtrer les rapports à l'aide des critères suivants.

../../_images/GBOX-OP16.PNG

Repère

Champ

Description

1

`Search for an analysis`

Filtre les rapports en fonction de la saisie. Le filtree se fait sur les champs FILENAME`, `FILE HASH (SHA256)`, `THREAT NAMES`)

2

`Hide advanced search fields`

Montre / cache les champs de recherche avancés

3

`Yara rule`

Règle Yara (par exemple shellcode ou stack)

4

`Signature`

Signature (par exemple injection ou cmdline)

5

`TTPs`

Tactique, Technique, Procédure (par exemple T1059 ou script)

6

`Malware behaviour catalog`

Catalogue des comportements malveillants (par exemple C0007 ou allocation mémoire)

7

`Malware family`

Famille de logiciels malveillants (par exemple formware ou nanocore)

8

`File Hashes`

Tout ou partie du hash de fichiers (MD5, SHA1, SHA256, SHA512, CRC32, TLSH, SSDEEP)

9

`Network`

Paramètre réseau (ids, hosts, domain name or ip)


5.2.4.3. Zone de configuration

Cette zone permet de configurer l'affichage des rapports.

../../_images/GBOX-OP17.PNG

Repère

Nom

Description

1

`Auto refresh`

Rafraîchissement automatique

2

`Hide analysis without threat score`

Masque l’analyse sans score de menace

Note

Si la GBox reçoit directement les fichiers sans passer par un GCenter alors les fichiers analysés avec un score nul peuvent être considérés comme sains pour le moteur utilisé.
Si la GBox reçoit les fichiers venant d'un GCenter alors les fichiers analysés ont été considérés comme suspicieux.
Le fait qu'ils aient un score nul ne suffit pas pour être considéré comme sain.
Un analyste doit regarder les rapports et tenir compte des moteurs utilisés (et non utilisés !) lors de l'analyse.

5.2.4.4. Zone des rapports

Cette zone permet d'afficher les détails des analyses effectuées.
Chaque ligne correspond à une analyse différente et les informations de cette analyse sont présentées et détaillées dans le tableau ci-après.
../../_images/GBOX-OP18.PNG

Note

Les informations listées dans le tableau ci-dessous sont les mêmes champs que dans les rapports de l'écran `Home`.

Repère

Nom

Description

1

`ID`

Numéro de l'analyse.
Les rapports listés sont triés du plus récent au plus ancien
Cliquer sur ce champ ouvre la page `Analysis report` de ce rapport

2

`SUBMISSION DATE`

Date et heure de la soumission de l'analyse

3

`FILENAME`

Nom du fichier analysé
Cliquer sur ce champ copie ce nom dans le presse papier

4

`FILE HASH (SHA256)`

SHA256 du fichier
Cliquer sur ce champ copie ce hash dans le presse papier

5

`ANALYSERS`

Indique le nom du (ou des ) moteur qui a servi à l'analyse

6

`SCORE`

Score (Threat score) d'analyse globale calculé à partir du score d'analyse retourné par les différents moteurs

7

`THREAT NAMES`

Nom de la menace retournée par le module gmalcore (ou n/a)
Cliquer sur ce champ copie ce hash dans le presse papier

8

`DONE DATE`

Date et heure de fin de l'analyse

9

`STATUS`

Etat global de l'analyse (Done, In Progress, In queue ou Error)
Dans le cas d'une erreur, des informations complémentaires sont disponibles dans le rapport de l'analyse

10

`ACTIONS`

Actions possibles à effectuer : téléchargement du rapport au format pdf

Les champs ci-dessous sont les champs supplémentaires permettant de faire le filtrage des rapports.

Repère

Nom

Description

11

`Filter by status`

Permet de filtrer les rapports avec ce statut à sélectionner dans la liste

12

`Filter by threat`

Permet de filtrer les rapports avec ce nom de menace à saisir

13

`Filter by analyser`

Permet de filtrer les rapports avec un nom de moteur à sélectionner dans la liste

14

`Filter by hash`

Permet de filtrer les rapports avec ce hash à saisir

15

`Filter by name`

Permet de filtrer les rapports avec le nom de fichier à saisir


5.2.4.5. Rapport détaillé

../../_images/GBOX-OP18.PNG
Après appui sur l'ID (1) d'un rapport, le rapport détaillé est affiché.
../../_images/GBOX-OP19.PNG
En fonction des moteurs sélectionnés dans le modèle lors de l'analyse, certaines informations peuvent être affichées. Elles sont indiquées au cas par cas.
Dans l'exemple ci-dessus, le rapport a été fait avec un modèle avec uniquement le moteur Gmalcore actif.
Le rapport d'analyse comporte toutes les informations extraites du fichier soumis aux différents moteurs d'analyse.

5.2.4.5.1. Informations présentes dans ce rapport

Les informations présentes dans ce rapport sont :

Repère

Description

1

Résumé du résultat de l'analyse indiquant :

  • le résultat (Threat Score) de l'analyse globale calculé à partir du score d'analyse retourné par les différents moteurs de Gmalcore
    - de 0% pour un fichier déclaré sain par le moteur utilisé
    - à 100 % valeur max pour un fichier déclaré malicieux
  • le nombre de moteur moteur impliqué (ici 1/1 analysers)

  • l'état global (sain, suspect ou malicieux) : ici Clean ou sain

Un score n'est donné que pour les moteurs Gmalcore et Goasm

2

Résumé des étapes de l'analyse :

  • la liste des moteurs utilisés : ici Gmalcore

  • le résultat du chargement du fichier pour chacun des moteurs : ici pour Gmalcore, la coche indique que le chargement s'est bien passé

  • coté droit, le résultat de l'analyse : ici l’icône signifie OK

3

Informations comprenant :

  • un graphique (voir la note ci-dessous)

  • sur l'analyse (hash et date)

  • sur le fichier (nom, sha256)

4 et 5

Sections d'analyse optionnelles. Ces informations dépendent du moteur dans le modèle.
Dans cet exemple, seules les sections `Analysis options` et `Heuristic` sont affichées. Cette rubrique peut être pliée / dépliée
Informations sur l'analyse heuristique (5) : cette rubrique peut être pliée / dépliée
Cette rubrique indique le résultat pour chacun des moteurs (ici les 16 moteurs du moteur Gmalcore)

6

Bouton `SAMPLE` qui permet de télécharger le fichier analysé.
Le fichier téléchargé est compressé et protégé par un mot de passe (le mot de passe est infected)
Une fois décompressé, le fichier analysé a une extension .sample

7

Bouton `REPORT` qui permet de télécharger le rapport en format pdf

8

Bouton `RETRY` qui permet de rejouer l'analyse de ce fichier (avec ce template ou un autre)

9

La section `Analysis sections` comprend des raccourcis pour ouvrir ces sections et recentrer l'affichage
Ces sections donnent le détail des analyses venant des moteurs définis dans le modèle d'analyse.
Ces informations permettent à un analyste d'avoir une idée plus précise de l'anatomie et du comportement du fichier lors de son ouverture/exécution
Dans cet exemple, seules les sections `Top`, `Analysis options` et `Heuristic` sont affichées.

Suivant la combinaison de moteurs utilisés, certaines sections peuvent être absentes de cette liste : le détail est donné dans le tableau ci-dessous

Bouton `ALL ARTEFACTS` permet de télécharger les artefacts issus de l'analyse (dump mémoire, capture réseau (pcap), chaînes de caractères détectées)
Cette section permet également de supprimer les artefacts.
Ce bouton n'est présent que si le moteur Gnest est actif.

5.2.4.5.2. Liste des sections présentes dans la section `Analysis sections`

Liste des sections présentes dans `Analysis sections`

Titre de la section

Description

Est activé par le moteur

`Top`

Raccourci vers la partie supérieure du rapport soient les parties (1) à (3)

Tous les moteurs

`Analysis options`

Valeurs des options utilisées pour l'analyse

Grip et Gnest

`Iocs`

Liste des actions effectuées (fichiers, base de registres, réseau, processus...)

GNEST

`Ttps`

Les TTPs analysent le fonctionnement d’un acteur malveillant, elles décrivent comment les cyberattaquants orchestrent, exécutent et gèrent les attaques opérationnelles.
Les TTPs contextualisent une menace. Elles révèlent les étapes ou les actions prises par des acteurs malveillants lors de de l’exfiltration de données par exemple.

GNEST

`Static`

Métadonnées

GRIP

`Overview`

Informations sur le fichier (taille, différents hash, type...)

GNEST

`Heuristic`

Liste des moteurs (Entry#x) et nom de la menace retournée par le module Gmalcore (ou n/a)

Gmalcore

`Shellcode`

Résultat de la détection de shellcode

GOASM

`Signatures`

Liste des signatures yara correspondant au fichier analysé

Gnest

`Process Tree`

Représentation graphique de l'arbre de processus

Gnest


5.2.4.5.3. Détails du graphique

Note

Le graphique est disponible uniquement si Gnest fait partie du modèle (les données nécessaires au graphique sont retournées par ce moteur).

../../_images/GBOX-OP21.PNG

Ce graphique permet d'avoir un visuel sur la dangerosité du fichier analysé :

  • la catégorie de la dangerosité est définie par les axes (1) (5) et (7) : titres et nombre d'axe sont donnés par les moteurs

  • le niveau de la dangerosité est donné par les cercles concentriques.

  • le cercle central (6) indique le niveau sain

  • le cercle milieu (3) indique le niveau suspicieux

  • le cercle externe (2) indique le niveau malicieux

La synthèse pour le fichier se lit sur les sommets de la forme représentée (4).
Dans l'exemple affiché, le sommet (5) indique que le fichier est :
  • malicieux dans l'axe `execution` (5)

  • suspicieux dans l'axe `antidebug` (1)

  • sain dans l'axe `stealth` (7)

Pour l'analyse d'un rapport, voir la Procédure d'analyse du contenu d'un rapport.