Malpedia : le Wikipédia des malwares !

Ce n’est un secret pour personne : nous vivons dans un monde peuplé de dangers et Internet ne fait malheureusement pas exception avec des exemples récurrents pour ne pas dire chronique de toute une palette de programmes malicieux. Au milieu de ce chaos, >Malpedia< se veut le recenseur du malware, permettant ainsi de regrouper toute les informations pour un malware donné ; Un projet aussi ambitieux que délicat.

 

 

Présentée le 7 Décembre 2017 à l’occasion du BotConf (dont la 5ième édition s’est déroulée du 5 au 8 Décembre 2017 à Montpellier), l’initiative sécuritaire fut présentée par Daniel Plohmann  – analyste Allemand étudiant les menaces sécuritaires  mais qui verse aussi dans l’ingénierie inversée – qui a voulut mettre en oeuvre un outil centralisateur permettant de recherche gratuitement et facilement un malware ou une famille de malware.

Le projet a été pensé pour tenter d’apposer – enfin – une unique étiquette pour un malware qui en a parfois plusieurs (les alias attribués par différents éditeur de sécurité, ce qui porte souvent à confusion pour pointer le malware puisque à noms multiples) mais, surtout, pour permettre aux développeurs et experts de mieux s’y retrouver avec leur propre langage « codifié » celui-ci, avec Malpédia, censé être purifié d’un pont de vue technique et non au détriment du chiffre qui colmatera la vulnérabilité infectieuse sans pour autant avoir améliorer le(s) bout(s) de code(s) infecté(s) : on patch dans l’urgence sans pour autant, parfois, prévoir au-delà / en profondeur… Une philosophie prise à l’envers par Malpédia en mettant donc en avant des informations très détaillées pour chaque malware (endroit de la page ou il s’exécute, api…). On notera que cette encyclopédie sécuritaire fait largement une fixation sur les produits Microsoft puisque des tris des API dédiées sont disponibles ; sans doute un épanchement nécessaire à la vue de la popularité de Windows dans ce domaine. Reste, toutefois, à envisager une mise en lumière d’autres OS ou iOS de la sorte, pour ne pas citer les produits de Google comme Android, pour plus d’équité.

Tri des malwares, ici, par familles.

Si les informations sont complétées régulièrement au compte-goutte (descriptif, alias, sample…), l’aperçu gargantuesque, sous forme de listing, permet une vision par type de malware, type de famille ou encore par auteur ou groupes, selon les informations répertoriées. Une section statistique est là pour donner une vue d’ensemble mais tout comme certaines parties, le contenu, bien que publique, n’est pas totalement libre puisqu’il faudra s’inscrire (sur invitation seulement ou par le biais d’un groupe de « confiance ») pour visualiser l’ensemble du site. Ainsi, au 31 Octobre 2017, Malpédia recensait 607 familles de malwares dont Windows, malheureusement, en tête, avec 505 familles, suivi d’Android (34) et macOS / OS X (29).

Et l’on comprendra facilement pourquoi : le cœur-même du principe peut potentiellement faire office d’inconvénient, d’où certainement le fait qu’il n’y ait pas certains éléments « exécutables » consultables directement sur le site qui aurait, alors, des allures d’encyclopédie en ligne douteuse au même titre, par exemple, qu’un site de torrent regroupant des liens de contenus illégaux. L’accès restreint a donc été envisagé comme une solution pragmatique pour parer à ce raccourci du genre dans les esprits. De plus et toujours selon les chiffres évoqués après analyses de comportements (API et fréquences) des malwares par famille, environ 96 % priorisent une action de type « exécution » suivis de près par une attaque au niveau de la mémoire (environ 95 %), le réseau (84 %) et la crypto-monnaie (47 % environ) même si ce dernier type d’attaque tendra probablement, avec les années, à devenir une cible de choix.

Du coup, si la présentation de l’époque affichait un recensement de 2 491 samples et 669 groupes / familles de malwares, hors connexion, les statistiques évoque plutôt 2 258 samples pour 718 groupes / familles de malwares, ce qui conforte la théorie de l’accès gratuit, certes, mais pas totalement libre, et ce, pour éviter les dérives malveillantes, pensons-le. Le protocole TLP (Traffic Light Protocol, un système de nivèlement sécuritaire par les autorités Britanniques dédiées, le CPNI) finira de lisser le processus de diffusion de l’information : selon le type d’utilisateur, une fiche malware « blanche » sera visible de tous et toute, contrairement au code « ambré » qui restreindra l’accès (un utilisateur de confiance pourra décider à qui le partager, par exemple).

 

L’ensemble réside sur les bonnes volontés avec un système d’objectifs selon le type de tâches effectués. « L’objectif principal de Malpedia est de fournir une ressource pour une identification rapide et un contexte exploitable lors de la recherche de logiciels malveillants. L’ouverture aux contributions doit garantir un niveau de qualité responsable afin de favoriser une recherche significative et reproductible« … A suivre !

 

Source : Présentation (PDF, Anglais) de Malpédia le 7 Décembre 2017 à la BotConf 2017 – Daniel Plohmann, Martin Claub, Steffen Enders et Elmar Padilla.