mlab mlab Academy
Analyse de fichiers

Lire un rapport d'analyse de fichier

Décrypter les rapports de sandbox et d'antivirus : comprendre les verdicts et les indicateurs clés.

1 Introduction

Un rapport d'analyse de fichier, c'est comme le compte-rendu d'un medecin apres un bilan de sante. Quand vous soumettez un fichier suspect a un service d'analyse (comme VirusTotal ou un sandbox), il est examine en profondeur : structure, comportement, connexions reseau, modifications systeme. Le rapport qui en decoule vous donne un verdict et tous les details necessaires pour comprendre si le fichier est sain ou dangereux.

70+

Moteurs antivirus sur VirusTotal

2 types

Analyse statique et dynamique

MITRE

Framework de reference des techniques d'attaque

2 Comment ca marche

Voici la structure typique d'un rapport d'analyse. Chaque section apporte des informations complementaires pour comprendre la nature et le comportement du fichier analyse.

Rapport d'analyse

invoice_march2024.pdf.exe

Malveillant

Verdict et detections

52/70

Moteurs detectent

Trojan

Classification

Emotet

Famille

9.2/10

Score de menace

Noms de detection (exemples)

Trojan.Emotet.Gen Win32/Emotet.AW Mal/Emotet-Q HEUR:Trojan.Win32.Emotet

Chaque antivirus utilise sa propre nomenclature, d'ou les noms differents pour la meme menace.

Analyse statique vs dynamique

Analyse statique

Examiner le fichier sans l'executer, comme un medecin qui fait une radio.

  • Taille du fichier, type reel, metadonnees
  • Chaines de caracteres suspectes
  • Imports de fonctions systeme sensibles
  • Presence de code obfusque ou packe

Analyse dynamique (sandbox)

Executer le fichier dans un environnement isole et observer son comportement.

  • Fichiers crees, modifies ou supprimes
  • Connexions reseau etablies
  • Cles de registre modifiees
  • Processus lances ou injectes

Mapping MITRE ATT&CK

Le framework MITRE ATT&CK categorise les techniques d'attaque. Le rapport associe les comportements observes a des techniques connues :

T1566 - Phishing T1059 - Command Scripting T1547 - Boot Autostart T1071 - Application Layer Protocol T1041 - Exfiltration Over C2

3 Analyse detaillee

Comprendre le taux de detection

Quand vous voyez "52/70", cela signifie que 52 moteurs antivirus sur 70 ont detecte le fichier comme malveillant. Mais attention : un faible taux de detection ne signifie pas que le fichier est sain. Un malware tout neuf (zero-day) peut n'etre detecte par aucun moteur au debut. A l'inverse, quelques detections isolees peuvent etre des faux positifs.

Les indicateurs extraits

Un bon rapport extrait automatiquement les IOC du fichier analyse : les adresses IP contactees, les domaines resolus, les URLs appelees, les fichiers deposes sur le disque. Ces indicateurs peuvent ensuite etre utilises pour bloquer la menace sur l'ensemble de votre reseau.

Les noms de detection

Chaque editeur antivirus utilise sa propre convention de nommage, ce qui peut preter a confusion. Un meme malware peut s'appeler "Trojan.Emotet.Gen" chez l'un et "Win32/Emotet.AW" chez l'autre. Le prefixe indique generalement le type (Trojan, Worm, Ransom), le milieu identifie la famille, et le suffixe designe la variante. En cas de doute, concentrez-vous sur la famille identifiee par la majorite des moteurs.

Essayez sur mlab.sh

Soumettez un fichier suspect et obtenez un rapport d'analyse complet : taux de detection, classification, IOC extraits et mapping MITRE ATT&CK. Tout ce dont un analyste a besoin.

Analyser un fichier sur mlab.sh

4 Red Flags

Taux de detection eleve (> 50%)

Quand plus de la moitie des moteurs detectent le fichier, le verdict est clair : le fichier est malveillant. Supprimez-le immediatement.

Le fichier contacte des serveurs externes

L'analyse dynamique montre des connexions vers des IP ou domaines inconnus ? Le fichier communique probablement avec un serveur de commande et controle (C2).

Modification des cles de registre de demarrage

Le fichier s'installe pour demarrer automatiquement avec Windows. C'est le signe d'un malware qui veut persister sur votre machine.

Code obfusque ou packe

L'analyse statique revele que le code est intentionnellement rendu illisible. Les logiciels legitimes n'ont generalement pas besoin de cacher leur code.

Techniques MITRE ATT&CK a haut risque

Des techniques comme l'injection de processus, l'escalade de privileges ou l'exfiltration de donnees sont des signaux d'alerte majeurs dans un rapport.

Propulsé par mlab.sh

Modules connexes

Comprendre MD5, SHA1, SHA256

Plongée dans les algorithmes de hachage : forces, faiblesses et cas d'usage de chaque algorithme.

Reconnaître un fichier malveillant

Les signaux d'alerte qui doivent vous mettre la puce à l'oreille avant d'ouvrir un fichier suspect.

C'est quoi un malware ?

Virus, ransomware, trojans : comprendre les différentes familles de logiciels malveillants.