7.7. Procédure de détection par Gscan
7.7.1. Introduction
- Malware : soumet les fichiers au moteur Malcore
- Powershell : scanne les fichiers contenant des scripts Powershell et détecter les potentielles menaces pouvant servir de porte d'entrée pour installer des logiciels malveillants sur Windows.En ce qui concerne les powershells malveillants, la détection se base sur un modèle de Machine Learning supervisé, et sur le fait que ces scripts utilisent généralement des techniques d'offuscation ou qui s'y apparentent (base64, concaténation, conversion de type, etc…).
- Shellcode : soumet les fichiers afin qu'ils soient analysés par le moteur de détection Codebreaker.
`DRAG and DROP or CLICK TO SELECT YOUR FILES` ou de cliquer sur cette zone afin d'envoyer le fichier suspect.`SCAN HISTORY` permet d'afficher l'historique des analyses réalisées.Note
Concernant les fichiers compressés analysés par Malcore :
le nombre de fichiers contenus dans une archive est :
limité
modifiable (50 est la valeur par défaut)
le nombre de fois que le fichier est compressé est :
limité (niveau de récursivité max)
modifiable (5 est la valeur par défaut)
si les fichiers sont protégés par un mot de passe, celui-ci doit être déclaré dans les réglages globaux.
modifier si besoin la taille maximale des fichiers envoyés à Gscan (Mo)
modifier si besoin le niveau de récursion maximum pour les archives envoyées à Gscan
modifier si besoin le nombre maximum de fichiers d’archives envoyés à Gscan
L'intégration graphique est décrite dans l'Ecran `GScan` de la web UI.
7.7.2. Prérequis
Utilisateur : membre du groupe Operator
7.7.3. Opérations préliminaires
Se connecter au GCenter via un navigateur (voir l'Accès à l'interface web du GCenter via un navigateur internet)
7.7.4. Procédure
Dans la barre de navigation, cliquer sur le bouton
`GScan`.
Cocher une ou plusieurs cases parmi les choix :
`Malware`,`Powershell`ou`Shellcode`.
Note
L'option
`DeepScan`, cochée par défaut, permet une analyse approfondie du fichier
Suivant le cas :
`DRAG and DROP`ou`UPLOAD`puis sélectionner le fichier à charge depuis le PC utilisateur et enfin valider la sélectionLe résultat s'affiche dans la vignette.
Dans le cas d'un résultat positif, la vignette est affichée en rouge avec l'information`Ìnfected`.Dans le cas d'un résultat négatif, la vignette est affichée en vert avec l'information`clean`.
Code retour |
Résultat |
Description |
Action |
|---|---|---|---|
0 |
No Threat Detected |
Le fichier a été analysé et déclaré comme sain |
Aucune |
1 |
Infected |
Le fichier a été analysé et déclaré comme infecté |
Aucune |
2 |
Suspicious |
Le fichier a été analysé et déclaré comme susceptible d’être infecté : certains moteurs de Malcore ont détecté ce fichier comme malicieux... |
à soumettre à une GBox |
3 |
Failed Scan |
Une erreur s'est produite durant l'analyse. |
Dans le cas d'utilisation via Gscan ou GBox, relancer l'analyse |
7 |
Skipped - Whitelisted |
Le fichier n'est pas analysé et considéré comme sain puisque ce fichier est défini dans la liste blanche de Malcore |
Aucune s'il est normal que ce fichier soit dans la liste blanche de Malcore sinon modifier la liste puis relancer l'analyse |
8 |
Skipped – Blacklisted |
Le fichier n'est pas analysé et considéré comme infecté puisque ce fichier est défini dans la liste noire de Malcore |
Aucune s'il est normal que ce fichier soit dans la liste noire de Malcore sinon modifier la liste puis relancer l'analyse |
9 |
Exceeded Archive Depth |
Le nombre de fois que le fichier est compressé est limité (niveau de récursivité max). Le message indique que la valeur définie a été dépassée. |
Il est possible d'augmenter cette limite et de relancer l'analyse (attention ceci peut engendrer une augmentation du temps de traitement ...) |
10 |
Not scanned |
Pb moteur analyse |
Contacter le service support e Gatewatcher si ca se reproduit |
12 |
Encrypted Archive |
L'archive est cryptée et donc non analysable : le mot de passe indiqué ne fonctionne pas |
Saisir le bon mot de passe et relancer l'analyse |
13 |
Exceeded Archive Size |
La taille maximale du fichier ne doit pas dépasser la valeur définie (valeur maximum 10MB). L'archive analysée a une taille supérieure à la valeur définie. |
Si la valeur définie est inférieure à 10MB, il est possible de modifier cette limite et de relancer l'analyse, sinon aucune |
14 |
Exceeded Archive File Number |
Le nombre maximum de fichiers présents dans l'archive ne doit pas dépassé la valeur définie. L'archive analysée contient un nombre de fichiers supérieur à la valeur définie. |
Il est possible d'augmenter cette limite et de relancer l'analyse (attention ceci peut engendrer une augmentation du temps de traitement ...) |
15 |
Password Protected Document |
la solution a détecté un comportement incohérent avec un document protégé par mot de passe |
Aucune action+ |
16 |
Exceeded Archive Timeout |
Le délai d'analyse de l’archive a été dépassé, les moteurs de Malcore ne répondent pas dans le délai imparti |
Relancer l'analyse si possible |
17 |
Filetype Mismatch |
Problème de non-concordance du type de fichier : la solution détecte l'extension du fichier avec son contenu et la compare avec l'extension du fichier affichée |
Aucune action+ |
18 |
Potentially Vulnerable File |
le verdict du résultat est: Les fichiers potentiellement vulnérables sont des fichiers associés à des composants ou des applications vulnérables identifiés. |
Aucune action+ |
19 |
Cancelled |
L'utilisateur a explicitement annulé cette demande d'analyse de fichier |
affiché pour information |
21 |
Yara Rule Matched |
le verdict du résultat est: une règle Yara correspond (identification d'échantillon de malwares) |
affiché pour information |
22 |
Potentially Unwanted |
La solution a détecté des applications potentiellement indésirables. |
affiché pour information |
23 |
Unsupported File Type |
Type de fichier non supporté par la solution. |
Aucune |
255 |
In Progress |
Analyse en cours.. |
Attendre la fin de l'analyse |
State |
description |
action |
|---|---|---|
Clean |
Le fichier a été analysé et déclaré comme sain |
Aucune |
Exploit |
Le fichier a été analysé et déclaré comme infecté (shellcode ou powershell) |
Aucune |
Suspicious |
Le fichier a été analysé et déclaré comme susceptible d’être infecté : le moteur a détecté ce fichier comme malicieux... |
Si possible à soumettre à une GBox |
Note
`Analysis Error`, laisser la souris sur l’icône.`Gscan is not enabled` est affiché, contacter un membre du groupe administrator pour activer cette option du menu de configuration.`Health check`. Utiliser GUM pour y remédier.- Cliquer sur la vignette.La fenêtre de détail est affichée :
Dans le cas d'un résultat positif, cette fenêtre donne les informations détaillées sur la menace détectée.
Dans le cas d'un résultat négatif, cette fenêtre donne les informations détaillées sur l'analyse.
Dans tous les cas, cette analyse est désormais disponible dans l'historique accessible par le bouton
`SCAN HISTORY`.
Astuce
7.7.5. Procédure de recherche à posteriori
Il est possible de changer le type de détection après une première analyse.
Dans la barre de navigation, cliquer sur le bouton
`GScan`.
Cocher la case
`Malware`par exemple.- Déposer le fichier souhaité dans le cadre en pointillé.Le résultat s'affiche dans la vignette.
- Cocher la case
`Shellcode`.La vignette affiche le résultat pour l'analyse shellcode.
7.7.6. Procédure de consultation de l'historique
Cliquer sur le bouton
`SCAN HISTORY`.
Cliquer sur un fichier analysé pour visualiser les détails de l'analyse faite.