Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Yomi Hunter : Sandbox gratuite en ligne

Yomi Hunter - Sandbox gratuite en ligne - Analyse comportementale d'un code exécutable ou interprétable dans un environnement isolé du système hôte.

29.01.2022 - Révision 29.01.2022 - Révision mineure 15.02.2022. Auteur : Pierre Pinard.

Sandboxing avec Yomi Hunter - yoroi.company


# Intérêt pour l'internaute


# Yomi Hunter (yoroi.company) -


Analyse d'un objet (fichier…) dans un sandbox (sandboxing), en cloud. Service gratuit, la société derrière ce sandbox ayant de très nombreuses activités payantes de recherches et décontaminations, dans de nombreux domaines.

Yomi Hunter - Analyse comportementale d'un objet numérique confiné dans un sandbox


Yomi Hunter (yoroi.company) Analyse comportementale d'un objet numérique confiné dans un sandbox
Yomi Hunter - Analyse comportementale d'un objet numérique confiné dans un sandbox
Pour utiliser le sandbox Yomi Hunter, il faut s'inscrire la première fois.


Yomi Hunter (yoroi.company) Analyse comportementale d'un objet numérique confiné dans un sandbox
Yomi Hunter - Analyse comportementale d'un objet numérique confiné dans un sandbox
Ouvrez 2 fenêtres : l’une de navigation dans vos fichiers, l’autre sur Yomi Hunter.
Sélectionnez le fichier à analyser et faites glisser (drag and drop) de l’une à l’autre.
Confirmez le caractère public (gris) ou privé (rouge) du fichier,
le contenu du fichier « public » sera visible par tout le monde.
Les 4 icônes sur le bord droit indiquent le nombre d'objets :
en attente, en cours d'exécution, en analyse et rédaction des résultats, traités depuis de début de l'année.


Yomi Hunter (yoroi.company) Analyse comportementale d'un objet numérique confiné dans un sandbox
Yomi Hunter - Analyse comportementale d'un objet numérique confiné dans un sandbox
En fonction de la charge de travail du centre de calcul de Yoroi
sachant que VirusTotal et d'autres utilisent professionnellement Yomi,
le temps de réponse pour une demande d'évaluation gratuite d'un fichier
peut être très long (plusieurs heures).


Yomi Hunter (yoroi.company) Analyse comportementale d'un objet numérique confiné dans un sandbox
Yomi Hunter - Analyse comportementale d'un objet numérique confiné dans un sandbox
Toujours rien après 2,5 jours. Abandon et passage à
la demande d'analyse d'un autre fichier suspect.


Yomi Hunter (yoroi.company) Analyse comportementale d'un objet numérique confiné dans un sandbox
Yomi Hunter - Analyse comportementale d'un objet numérique confiné dans un sandbox
L'analyse a démarré et est en cours.


Yomi Hunter (yoroi.company) Analyse comportementale d'un objet numérique confiné dans un sandbox
Yomi Hunter - Analyse comportementale d'un objet numérique confiné dans un sandbox
Les dix spots indiquent le degré de dangerosité du code analysé, de zéro (tous gris) à dix (tous rouges).
Si la date de première analyse est celle de votre jour de soumission, c'est la 1re fois que Yomi analyse ce code.


Yomi Hunter (yoroi.company) Analyse comportementale d'un objet numérique confiné dans un sandbox
Yomi Hunter - Analyse comportementale d'un objet numérique confiné dans un sandbox
Si l'objet analysé affiche quelque chose, Yomi effectue des captures d'écrans.


Yomi Hunter (yoroi.company) Analyse comportementale d'un objet numérique confiné dans un sandbox
Yomi Hunter - Analyse comportementale d'un objet numérique confiné dans un sandbox
Commandes (ici sous Windows) exécutées (analyse dynamique) par le code.


Yomi Hunter (yoroi.company) Analyse comportementale d'un objet numérique confiné dans un sandbox
Yomi Hunter - Analyse comportementale d'un objet numérique confiné dans un sandbox
Analyse comportementale des actions dynamiques effectuées par le code analysé.


Yomi Hunter (yoroi.company) Analyse comportementale d'un objet numérique confiné dans un sandbox
Yomi Hunter - Analyse comportementale d'un objet numérique confiné dans un sandbox
Analyse des actions statiques effectuées par le code analysé.


Yomi Hunter (yoroi.company) Analyse comportementale d'un objet numérique confiné dans un sandbox
Yomi Hunter - Analyse comportementale d'un objet numérique confiné dans un sandbox
Analyse des actions statiques effectuées par le code analysé.


Yomi Hunter (yoroi.company) Analyse comportementale d'un objet numérique confiné dans un sandbox
Yomi Hunter - Analyse comportementale d'un objet numérique confiné dans un sandbox
Interactions de l'objet analysé avec l'Internet.


Yomi Hunter (yoroi.company) Analyse comportementale d'un objet numérique confiné dans un sandbox
Yomi Hunter - Analyse comportementale d'un objet numérique confiné dans un sandbox
Interactions de l'objet analysé avec l'Internet.


Yomi Hunter (yoroi.company) Analyse comportementale d'un objet numérique confiné dans un sandbox
Yomi Hunter - Analyse comportementale d'un objet numérique confiné dans un sandbox
Interactions de l'objet analysé avec l'Internet.


Yomi Hunter (yoroi.company) Analyse comportementale d'un objet numérique confiné dans un sandbox
Yomi Hunter - Analyse comportementale d'un objet numérique confiné dans un sandbox
Interactions de l'objet analysé avec l'Internet.


Les clauses et conditions d’un produit ou service sont celles dans la langue de la nationalité de l’éditeur (personne physique ou morale). Ces clauses sont contractuelles et s'imposent à vous, vous devez donc toujours les lire sans les accepter aveuglément. Les traductions qu'Assiste.com effectue n’ont aucune validité juridique et ne sont qu’un facilitateur pour nos lecteurs.

Avec leurs propres mots :

Bienvenue chez Yoroi et « Yomi: The Malware Hunter »

9 avril 2019

De nos jours, les logiciels malveillants représentent un outil puissant pour les cyberattaquants et les cybercriminels du monde entier. Avec plus de 856 millions d'échantillons distincts identifiés au cours de l'année dernière (2018), il s'agit sans aucun doute de l'un des principaux types de menaces auxquelles les entreprises et les organisations sont confrontées pour continuer à gérer leur entreprise sans perte de ressources, de temps, d'argent, d'actions et, enfin et surtout, de réputation et de clients.

Des décennies de coévolution contradictoire avec l'industrie antivirus ont conduit les menaces de logiciels malveillants à développer la capacité d'échapper à la détection, de contourner les limites de sécurité et de rester silencieux jusqu'au moment opportun. Libérant enfin leur comportement, les malveillances permettent alors aux pirates informatiques, aux cybercriminels et aux espions distants de voler des secrets, des données, des biens numériques et de l'argent, compromettant les processus commerciaux et même la vie humaine. Pour le plaisir et le profit.

Cette bataille contre les logiciels malveillants est énorme. Les tendances et l'évolution du marché ont montré qu'aucun fournisseur n'a le pouvoir de surmonter seul toutes ces menaces, mais la coopération des professionnels de la sécurité, des communautés d'information et de renseignement, des fournisseurs, des CERT et des CSIRT le peut.

Dans cet esprit, il y a quelques mois , « Yoroi » a décidé de soutenir activement cette cause en partageant des outils propriétaires pour aider la communauté Info-Sec à détecter, analyser et disséquer les menaces de logiciels malveillants, ouvrant au public le sandbox « Yomi » : la première analyse de logiciels malveillants entièrement italienne, étendant aujourd'hui l'accès à tous les utilisateurs de la communauté.(2018)

Le chasseur de logiciels malveillants

« Yomi » est un bac à sable contre les malveillances capable de digérer et de faire exploser des documents, des exécutables, des programmes d'installation et des scripts malveillants dans un environnement contrôlé, enregistrant silencieusement chaque action d'échantillonnage dans l'environnement d'analyse personnalisé conçu pour vaincre les techniques d'évasion, puis repérer et suivre le comportement malveillant caché par les attaquants.

Le moteur de malware de « Yomi » implémente une approche multianalyse capable d'exploiter à la fois l'analyse statique et l'analyse comportementale.

  1. La section d'analyse statique comprend :

    • L'extraction de documents et de macrocodes

    • L'importation

    • Les dépendances

    • L'analyse de la chaîne de confiance

  2. La section d'analyse comportementale comprend :

    • Reconnaître les actions malveillantes (ou suspectes) que le logiciel malveillant effectue en silence, donnant également un aperçu puissant sur la commande et le contrôle

    • L'exfiltration

    • Les activités de déplacement latéral sur le réseau.

Chaque analyse est rapportée dans une vue agrégée intuitive pour repérer les modèles intéressants en un coup d'œil.

Le moteur de détection comportementale est non seulement capable de détecter les actions anormales, suspectes ou malveillantes tentées lors de l'analyse, mais « Yomi » a également été conçu pour aider les analystes humains à comprendre la dynamique d'exécution du code malveillant, en donnant une visibilité détaillée du flux de contrôle et des interactions des logiciels malveillants (« Action Graph »). La technologie « Yomi » comprend de nombreux moteurs statiques et dynamiques afin d'éviter autant que possible l'évasion des logiciels malveillants.

« Yomi » peut analyser une grande variété de types de fichiers exécutables, allant de PE32 (natif ou .NET) à la fois en x86 et x86_64bit, des binaires Java, des scripts Powershell, des scripts JS ou VB, des fichiers Cabinet, des pages HTML, des documents PDF, des documents Office tels que PowerPoint, Excel ou Word (même les fichiers exécutables) et plusieurs formats d'archives compressées courants ou peu courants allant de ZIP, 7z, RAR, TAR, BZ2, jusqu'au format ACE. « Yomi » fournit un chemin d'analyse ad hoc pour chacune de ces familles de fichiers, en exploitant une pléthore d'outils de sécurité pour extraire autant d'informations que possible de chaque échantillon. Par exemple, les documents et les feuilles de calcul sont inspectés pour détecter le code de macro ou les exploits intégrés, en les extrayant du fichier d'origine. Au lieu de cela, les fichiers exécutables sont vérifiés de manière statique pour recueillir des informations contextuelles, puis instrumentés pour une analyse dynamique, ou également des fichiers Java, décompilés pour faciliter leur inspection manuelle.

Quoi qu'il en soit, restez à l'écoute, car nous prévoyons de publier de nombreuses fonctionnalités supplémentaires dans « Yomi: The Malware Hunter » dans les prochains mois.

Inspection HTTPS

Les adresses réseau, les domaines et les modèles sont l'un des types d'indicateurs les plus exploitables qu'une équipe de bleues peut exploiter pour détecter les activités malveillantes dans le périmètre du réseau. Leur pertinence peut également être appréciée lors des opérations de renseignement sur les menaces, où ils représentent certains des blocs de base nécessaires pour suivre les activités des acteurs menaçants.

Cependant, au fil des années, en raison de l'utilisation croissante du cryptage de bout en bout, les attaquants ont commencé à abuser des canaux protégés SSL pour éviter la détection, tirant parti de la visibilité limitée sur ces canaux pour échapper à l'IPS et aux proxys de nouvelle génération, leur permettant de contourner une importante partie des contrôles de sécurité périmétriques, laissant les victimes entre les mains de leur dernière ressource : les antivirus. Des technologies bien connues, même par les cybercriminels.

De plus, plusieurs analyses automatisées de logiciels malveillants ne sont pas équipées pour traiter les canaux cryptés, laissant l'effort d'inspection des communications aux analystes de la cybersécurité. Dans cet esprit, « Yoroi » a choisi de doter « Yomi: The Malware Hunter » de capacités d'inspection SSL, gratuitement. Une fonctionnalité de pointe généralement disponible uniquement dans les services premium (payants), permettant aux chasseurs de logiciels malveillants de la communauté d'analyser même les tunnels cryptés mis en place par le code malveillant, dévoilant ainsi leurs données cachées.

En fait, « Yomi » prend en charge la fonctionnalité « Man in the Middle », capable de forcer d'éventuels échantillons malveillants en cours d'analyse à transiter vers un proxySSL ad hoc, instrumenté pour enregistrer et analyser le trafic réseau en transit, donnant une visibilité sur le canal crypté aux chasseurs de logiciels malveillants.

Soumission de rapport privé

Presque tous les professionnels de la sécurité ne savent pas que tous les échantillons et toutes les analyses ne peuvent pas être partagés avec le public. Parfois, en particulier pendant les enquêtes APT, les rapports d'analyse ne peuvent pas être divulgués à la communauté, du moins pendant les phases initiales de l'analyse, ou, par exemple, lors de démontages ou d'enquêtes conjointes avec les forces de l'ordre, nécessitant généralement un certain degré de secret, au moins jusqu'à la fin des opérations.

« Yoroi » comprend intimement ce besoin de confidentialité venant de nombreux professionnels et a décidé de doter « Yomi » d'une fonctionnalité qui change la donne : la possibilité de choisir de NE PAS partager l'analyse avec la communauté, permettant à ses utilisateurs de demander des rapports privés pour les échantillons soumis. Cela signifie que l'échantillon et le rapport d'analyse ne seront pas non plus divulgués à la communauté. Une fonctionnalité souvent non disponible dans les outils gratuits.

Communauté et compétitions entre chercheurs

« Yomi: The Malware Hunter » n'est pas seulement un outil d'analyse automatisé disponible gratuitement, il est conçu pour engager la communauté et tirer parti de l'expérience des chasseurs, leur permettant de marquer les échantillons soumis avec des noms, des familles et des enrichissements contextuels que seul un analyste humain peut se permettre.

De plus, la communauté de « Yomi » aura la possibilité de participer à des concours de logiciels malveillants visant à repérer des menaces particulières ou à engager la communauté pour recueillir des données et discuter des tendances des logiciels malveillants repérés dans la nature.

Et oui, il y aura aussi une récompense spéciale pour les meilleurs contributeurs et participants aux concours ? ... Alors, essayez « Yomi: The Malware Hunter », rejoignez la communauté et commencez à chasser les malwares avec nous !

Si vous voulez essayer « Yomi: The Malware Hunter », veuillez vous inscrire ici.

Yomi Hunter - Conditions générales

En théorie, sous le système d'exploitation Windows, seuls les fichiers dont l’extension est .exe sont susceptibles de contenir du code exécutable et environ 170 types de fichiers sont à risque.

Lorsqu'un fichier est envoyé en analyse dans un sandbox (un bac à sable), il est ouvert en appelant la fonction « CreateProcess », donc peu importe le nom du fichier et son extension, si son contenu est exécutable, il sera exécuté, même s'il se cache derrière un nom quelconque, même s'il s'appelle recettedecuisine.txt (extension txt).

Yomi Hunter - Sandbox : Ouverture systématique en exécution

C'est le 04 septembre 2019 que la société Yoroi rend « Yomi : The Malware Hunter » public et gratuit. Juste un mois avant, le 05 août 2019, « Yomi : The Malware Hunter » avait été accepté par VirusTotal qui l'introduisait dans son panel de sandboxs (panel de sandboxs de VirusTotal).

Yomi Hunter - Yomi Hunter devient public et gratuit # # # # # # # # # # # # # # # # # # # # # # # # #

Dossier (collection) : Classes de malveillances

Adware
Adware intrusif
Anarchie
ANSI Bomb
AOL Pest
Automate d'appels téléphoniques
Banker (Malware Banker, Malware Banking, Trojan Banker, Trojan Banking, Virus Banker, Virus Banking)
Barres d'outils
BHO - BHOs - Browser Helper Object
Binder
Bluejacking - exploitation des vulnérabilités du Bluetooth
Bluesnarfing - exploitation silencieuse de la technologie Bluetooth
Bot
Botnet
Botnet as a Service (BaaS)
C&C - Command and Control
Calcul distribué
Cheval de Troie (Trojan)
Cookie de tracking (Trackware Cookie)
Cracking Doc
Cracking Misc
Cracking tools - Outils de crack
Crypto-ransomware
Cryptoware
DDoS
DNS hijacking (DNS hijacker - Redirection DNS)
DoS
Dropper - (Virus compte-gouttes)
Encryption Tool
Explosives
Firewall Killer
Flood
Flooder
Fraudes 419 (Spam 419 - Spam africain - Spam nigérien)
Hacking tools - Outils de hack
Hacking Tutorial
Hijacker
Hostile ActiveX
Hostile Java
Hostile Script
IRC War
Keygen
Key Generator
Keylogger
Loader
Lockpicking
Macrovirus
Mail Bomb
Mail Bomber
Mailer
Malvertising
Malware as a Service (MaaS)
Misc
Misc Doc
Misc Tool
Modificateurs des SERP des moteurs de recherche (résultats menteurs)
NetTool
Notifier
Nuker
Outils de création de privilèges
Outils révélateurs de mots de passe
P2P BotNet
Packer (compression, encryptage)
Password Cracker
Password Cracking Word List
Password Stealer (Spyware PasswordStealer - Steal stored credentials - USB Password stealer)
Patch
PHA (applications potentiellement nuisibles)
Phishing
Phreak (Phreaker - Phreaking)
Phreaking Text
Phreaking Tool
Pirateware
Profiling
Rançongiciel
Ransomware
RAT Remote Administration Tool (Outil d'administration à distance)
Redirection DNS
Remballe
Revenge porn
Rip (Ripoff - Rip-off - Ripper - Rippeur - Ripping)
Scanner de ports
SMiShing (phishing par SMS)
Spam (courriel indésirable, email ennuyeux, email virus, courriel publicitaire)
Spam tool
Spam vocal
Spoofer
Spoofing (Usurpation)
Spyware (Theft)
Stealer
Super-Cookies
Sybil attack
Tracking
Trojan Creation Tool
Trojan Source
Truelleware (shovelware)
Trustjacking
Typosquatting
Video jacking
Virus
Virus PEBCAK
War Dialer (Janning)
Worm (ver, propagation, virus)
Worm creation tool
Zombie
Zombification


Yomi Hunter - Ressources


# Ailleurs sur le Web #

  1. #Yomi Hunter#

  2. #sandbox Yomi Hunter#

  3. #Yomi Hunter#