Rapport d'analyse de logiciels malveillants (MAR)

Un rapport d'analyse de logiciels malveillants (MAR) est un document qui fournit une ventilation approfondie sur la fonctionnalité et le risque d'une cyber-menace nouvelle ou évolutive. Généralement, un MAR catégorise l'intention malveillante d'un morceau de logiciel malveillant donné par la façon dont le code s'exécute et ce qu'il a été conçu pour voler. La documentation permet également aux lecteurs de savoir comment reconnaître les signes d'infection et comment atténuer les risques. 

Le National Cyber Awareness System, qui est géré par le ministère américain de la Sécurité intérieure, diffuse des rapports d'analyse des logiciels malveillants sous forme d'alertes, de flux RSS et de bulletins d'information à adhésion facultative. Un MAR typique comprend les informations suivantes : 

• Summary -- explique qui a effectué la recherche.
• Findings -- décrit ce que le logiciel malveillant est conçu pour faire.
• Recommandations -- fournit les meilleures pratiques pour prévenir les infections et les récupérer.

Un rapport d'analyse des logiciels malveillants (MAR) fournit aux organisations une analyse détaillée d'une menace spécifique en procédant à une rétro-ingénierie manuelle du code malveillant. Tout d'abord, les propriétés statiques des logiciels malveillants -- notamment les informations d'en-tête, les hachages, les chaînes intégrées et les ressources sont souvent collectées pour fournir aux chercheurs des indicateurs de compromission. Ensuite, le comportement du logiciel malveillant sera observé et enfin, les ingénieurs tenteront manuellement d'inverser le code pour comprendre son fonctionnement.

Généralement, les MAR sont créés par des équipes de recherche dédiées, que ce soit dans les forces de l'ordre, les universités ou les entreprises de sécurité. Par exemple, le département américain de la sécurité intérieure (DHS) et le Federal Bureau of Investigation (FBI) ont récemment publié un rapport conjoint d'analyse de logiciels malveillants sur un nouveau cheval de Troie appelé HOPLIGHT. HOPLIGHT est un cheval de Troie à porte dérobée qui aurait été utilisé par un groupe de menaces persistantes avancées (APT) de Corée du Nord appelé Lazarus. Le malware peut lire, écrire et déplacer des fichiers. Il peut également créer et tuer des processus et des services, modifier les paramètres du registre et télécharger des fichiers vers (et depuis) un serveur distant. 

.