tous les documents
  • tous les documents
  • Images
  • Films
  • Rushes
  • Publications
  • Audio
Recherche avancée
Ensemble de recherche :
tous les documents
  • tous les documents
  • Images
  • Films
  • Rushes
  • Publications
  • Audio
Recherche par couleur
Ensemble de recherche :
tous les documents
  • tous les documents
  • Images
  • Films
  • Rushes
  • Publications
  • Audio
Titre :
Analyse de malware
Légende - Résumé :
Il existe deux types d’attaquants : des petites organisations qui gagnent un peu d’argent avec leurs ransomware, ou de grosses organisations qui attaquent des gouvernements, des grandes entreprises, etc. Ici ils s’intéressent aux petits attaquants. Le malware qui est sur l’écran est un vrai malware, ancien (donc résolu) mais il a vraiment existé ; pourrait encore se déclencher sur un vieux téléphone non mis à jour par exemple.
Dans le cas présent, c’est un ransomware qui chiffre les photos du propriétaire du téléphone : la victime ne peut plus voir ses photos sur son téléphone sauf si elle paie.
Pour faire de l’analyse dynamique de malware sur téléphone, les chercheurs obligent le malware à s’exécuter afin d’observer ce qu’il fait, en jouant avec l’interface graphique ou en forçant l’application. Les graphes montrent ce qui se passe pendant l’attaque.
Un code va récupérer l’application que l’on veut tester, tout se fait tout seul sur le téléphone portable ; l’exécution du code malveillant a été forcée et il s’est exécuté. Ici on voit une multitude de sms « evil sms » ; en vrai ce serait un envoi de numéros surtaxés.

Sur le grand écran :
graphe des processus à gauche : fichier image (IMG … en orange l’appli qui devient un processus ; l’attaquant communique via TOR = nœuds relais qui permettent à l’attaquant de rester anonymes – à chaque fois c’est chiffré différemment
ligne temporelle = graphe orange
nombres d’événements : relié au graphe dessus quand on le lance, permet de voir quand le malware se lance ; il laisse les images chiffrées. L’objectif est comprendre comment fonctionne le malware, ce que font les graphes sur le grand écran ; le malware attend toujours quelque chose pour se lancer : le travail de l’équipe est de trouver une éventuelle anomalie dans le téléphone.
dernier graphe en haut à droite : peut se déplier pour voir le code dans le détail ; c’est pour cela qu’ils essaient de voir toute la chaîne.


Le LHS de Rennes est connecté à celui de Nancy, ils n’ont donc besoin que d’un minimum infrastructures mais l'accès aux équipements est tout aussi sécurisé. Dans la salle il y a une connexion directe sur internet, qui permet isoler le réseau interne d’Inria de ce réseau-là sur lequel l’équipe teste des malwares. LE LHS de Rennes possède du matériel spécifique : cage de Faraday, oscilloscope, générateur de signaux. La cage est utilisée pour lancer des expériences avec des attaques en fautes par injection d’ondes électromagnétiques.
Le LHS de Rennes a plusieurs partenaires :
La région Bretagne : financement seulement
DGA, Direction générale de l’armement : financement + fournissent des ingénieurs à Bruz à quelques kms d’ici
Centrale Supélec, qui a mis une chaire au LHS ici sur les malwares (analyse de vulnérabilité)
Leur agenda de recherche est complémentaire du LHS de Nancy.
Nom de fichier :
Inria-0279-093.jpg
Titre :
Analyse de malware
Mention obligatoire :
© Inria / Photo C. Morel
Année :
2017
Lien Equipe-projet :
Lien Centre de Recherche :
Type de document :
Reportage recherche
Mots clés :
Inria-0279-093.jpg

Format : .jpg
10,3 Mo
5760 x 3840 pixels
Fichier original
Inria-0279-093.jpg
Format : .jpg
438 Ko
1024 x 683 pixels
Basse définition Web
Sélection
Voir Selection
Déposer ici pour retirer de la sélection