Découvrir un processus malveillant dans les premières secondes de son exécution

mposer un délai de délivrance de quelques secondes pour s’assurer de l’innocuité d’un exécutable en pièce jointe d’un courriel ou téléchargé sur Internet, est-ce tellement insupportable ? Probablement. Témoignant lors de l’édition 2016 du Forum International de la Cybersécurité, Sébastien Pécron, responsable des opérations chez Keolis Lille, expliquait qu’il fallait compter « une à deux minutes » de traitement pour les courriels entrants, un délai qu’il préférait faire supporter aux utilisateurs plutôt que de risquer « trois ou quatre jours d’arrêt de production ».

Mais quatre chercheurs, de l’université de Cardiff et d’Airbus, estiment possible de dire si un exécutable est malveillant ou pas en bien moins de temps : dès 4 secondes d’exécution pour un taux de confiance de 93 %.

Ils partent de constats largement partagés :  les protections basées sur des signatures sont inadaptés à la protection contre les menaces inédites ; les systèmes basés sur la découverte d’anomalies comportementales nécessitent de laisser la menace fonctionner un certain temps, potentiellement trop long ; l’analyse statique s’appuie sur des données susceptibles d’être maquillées pour cacher le code malveillant. D’où la question : comment accélérer le dépistage en s’appuyant sur une analyse dynamique ?

Les chercheurs estiment tenir la réponse. Ils s’appuient pour cela sur des réseaux neuronaux récursifs. Selon les résultats de leurs tests, il est possible d’obtenir une classification d’un exécutable fiable à 93 % en surveillant seulement 4 secondes de son comportement. Et la fiabilité monte à 98 % avec 20 secondes d’observation.

Pour les chercheurs, leurs travaux constituent à ce jour « la première analyse de la mesure selon laquelle un fichier peut être prédit comme malicieux durant son exécution, plutôt qu’en utilisant un journal d’activité complet après celle-ci ».