Analyse de Programmes Malveillants par Abstraction de Comportements. (Analysis of Malware by Behavior Abstraction)

ion de Comportements par Réécriture de Mots Nous avons vu, en Section 1.2, que l’analyse comportementale classique opérait directement au niveau des interactions observées (les appels de librairie, les appels systèmes...), ce qui rend la détection de comportements suspects peu robuste puisque la moindre modification dans la mise en œuvre d’une fonctionnalité permet de faire échouer la détection. Ces modifications sont notamment rencontrées dans les variantes de codes malicieux connus. Par ailleurs, les travaux existants qui réalisent la détection à un niveau plus élevé [81, 17, 66] opèrent sur des traces capturées par analyse dynamique et ne sont pas généralisables à une approche statique c’est-à-dire à un ensemble potentiellement non borné de traces d’exécution. Notre objectif est donc de proposer et de formaliser une méthode d’analyse comportementale qui opère sur un ensemble quelconque de traces d’exécution et qui permette d’être indépendant de l’implantation, d’être résilient aux variantes et de détecter des comportements suspects définis de manière générique. Pour cela, nous proposons une approche où un comportement suspect est défini en termes de fonctionnalités de haut niveau (comme des opérations sur des fichiers, l’installation d’une hook système ou une fuite de données) et où la détection est réalisée en abstrayant les traces d’exécution par rapport à ces fonctionnalités, de façon à construire une représentation abstraite de l’ensemble de traces d’un programme. Nous souhaitons que notre approche s’applique à un ensemble quelconque, fini ou infini, de traces, afin qu’elle puisse être utilisée dans un cadre statique comme dans un cadre dynamique. Dans ce chapitre, nous nous intéressons spécifiquement à une représentation des traces par des mots. 59 te l-0 06 46 39 5, v er si on 1 29 N ov 2 01 1 CHAPITRE 4. ABSTRACTION PAR RÉÉCRITURE DE MOTS 60 Le formalisme que nous proposons repose sur la théorie des langages formels, sur la réécriture de mots et sur les automates finis. L’abstraction est réalisée par réécriture en associant à chaque fonctionnalité de haut niveau un système de réécriture de mots. Ainsi, la forme abstraite d’une trace d’exécution est définie en fonction de ces fonctionnalités abstraites et non en fonction des actions observées, qui sont de bas niveau et donc moins fiables. La détection comportementale est alors réalisée en construisant un automate reconnaissant l’ensemble des formes abstraites des traces d’un programme puis en comparant par intersection l’automate construit avec un automate représentant la base de comportements de haut niveau à détecter. Notre cadre d’abstraction peut être utilisé dans deux scénarios : – Détection de comportements donnés : des signatures de comportements de haut niveau donnés sont exprimées en termes de fonctionnalités abstraites. Étant donné un programme, on analyse alors si l’une de ses traces d’exécution appartient à l’une des signatures. On peut appliquer cette méthode à la détection de comportements suspects : bien que la détection d’un comportement suspect puisse ne pas suffire à étiqueter un programme comme malicieux, cette détection peut être utilisée pour compléter les techniques de détection existantes par des critères de décision supplémentaires. – Analyse de programmes : l’abstraction fournit une représentation simple et de haut niveau du comportement d’un programme, qui est plus adaptée que l’ensemble de traces initial pour une analyse manuelle, une analyse de similarité de comportements avec des malwares connus, etc. Par exemple, elle pourrait être utilisée pour détecter des comportements pas nécessairement nocifs, afin d’avoir une première compréhension du programme et de l’analyser plus avant si nécessaire. Le modèle proposé, en combinant les systèmes de réécriture de mots et les automates finis, permet de détecter très efficacement des comportements suspects de haut niveau, plus précisément en temps linéaire.