Indicateurs de menace
Anomalies
Chaque catégorie représente une zone fréquemment observée dans les logiciels malveillants.
Ces indicateurs représentent les situations dans lesquelles le fichier comporte des éléments incohérents ou anormaux. Il s'agit souvent d'incohérences dans les éléments structurels du fichier.
|
Indicateur |
Description |
|---|---|
|
16bitSubsystem |
Ce fichier utilise le sous-système 16 bits. Les logiciels malveillants l'utilisent dans une partie moins sécurisée et moins surveillée du système d'exploitation, et souvent pour lancer des attaques par escalade des privilèges. |
|
Anachronisme |
Ce fichier exécutable semble mentir quant au moment où il a été écrit, ce qui n'est pas classique pour les logiciels écrits de manière professionnelle. |
|
AppendedData |
Ce fichier exécutable comporte un contenu supplémentaire qui lui a été ajouté, au-delà des zones normales du fichier. Les données ajoutées peuvent fréquemment être utilisées pour intégrer des données ou des codes malveillants, et elles sont souvent négligées par les systèmes de protection. |
|
AutoitDbgPrivilege |
Le script AutoIt peut procéder à des activités de débogage. |
|
AutoitManyDllCalls |
Le script AutoIt utilise de nombreux appels à des DLL externes. Le moteur d'exécution AutoIt possède déjà de nombreuses fonctions communes. Par conséquent, l'utilisation de fonctionnalités supplémentaires provenant de DLL externes peut être un signe de malveillance. |
|
AutoitMutex |
Le script AutoIt crée des objets de synchronisation. Ce script est habituellement utilisé par les logiciels malveillants pour éviter d'infecter plusieurs fois la même cible. |
|
AutoitProcessCarving |
Le script AutoIt est susceptible de reconstituer le processus pour exécuter son propre code qui semble provenir d'un autre processus. Cela est souvent le cas pour entraver la détection. |
|
AutoitProcessInjection |
Le script AutoIt est susceptible de procéder à une injection de processus pour exécuter du code dans le contexte d'autres processus, afin de ne pas être détecté ou de dérober des données. |
|
AutoitRegWrite |
Le script AutoIt écrit dans le registre Windows. |
|
Base64Alphabet |
Le fichier contient des preuves d'utilisation du codage Base64 d'un alphabet. Les logiciels malveillants tentent ainsi d'éviter les pratiques de détection courantes ou d'attaquer d'autres programmes qui utilisent le codage Base64. |
|
CommandlineArgsImport |
Le fichier importe des fonctions capables de lire des arguments à partir d'une ligne de commande. Les logiciels malveillants utilisent cette fonctionnalité pour recueillir des informations sur les exécutions suivantes. |
|
ComplexMultipleFilters |
Le fichier contient plusieurs flux avec divers filtres. |
|
ComplexObfuscatedEncoding |
Le fichier contient un nombre anormalement élevé de noms obscurcis. |
|
ComplexUnsupportedVersion EmbeddedFiles |
Le fichier utilise les fonctionnalités EmbeddedFiles provenant de versions plus récentes de la norme PDF qu'il déclare. |
|
ComplexUnsupportedVersionFlate |
Le fichier utilise la fonctionnalité FlateDecode provenant de versions plus récentes de la norme PDF qu'il déclare. |
|
ComplexUnsupportedVersionJbig2 |
Le fichier utilise la fonctionnalité JBIG2Decode provenant de versions plus récentes de la norme PDF qu'il déclare. |
|
ComplexUnsupportedVersionJs |
Le fichier utilise les fonctionnalités JavaScript provenant de versions plus récentes de la norme PDF qu'il déclare. |
|
ComplexUnsupportedVersionXFA |
Le fichier utilise les fonctionnalités XFA provenant de versions plus récentes de la norme PDF qu'il déclare. |
|
ComplexUnsupportedVersionXobject |
Le fichier utilise les fonctionnalités XOBject provenant de versions plus récentes de la norme PDF qu'il déclare. |
|
ContainsFlash |
Le fichier contient des objets flash. |
|
ContainsPE |
Le fichier contient des fichiers exécutables intégrés. |
|
ContainsU3D |
Le fichier contient des objets U3D. |
|
InvalidCodePageUsed |
Le fichier utilise un environnement local non valide ou non reconnu, probablement pour éviter la détection. |
|
InvalidData |
Les métadonnées du fichier sont de toute évidence fausses ou endommagées. |
|
InvalidStructure |
La structure du fichier n'est pas valide. La table d'allocation des tailles, des métadonnées ou du secteur interne est incorrecte, ce qui peut indiquer une faille de sécurité. |
|
ManifestMismatch |
Le manifeste du fichier est incohérent. Le logiciel malveillant évite d'être détecté, mais brouille rarement les pistes de manière optimale. |
|
NontrivialDLLEP |
Ce fichier exécutable est une DLL avec un point d'entrée non trivial. Ils sont communs dans les DLL, mais une DLL malveillante peut utiliser ce point d'entrée pour s'installer dans un processus. |
|
NullValuesInStrings |
Certaines chaines du fichier contiennent des caractères nuls. |
|
PDFParserArraysContainsNullCount |
Le fichier contient un nombre anormalement élevé de valeurs nulles dans les matrices. |
|
PDFParserArraysHeterogeneous Nombre |
Le fichier contient un nombre anormalement élevé de matrices comprenant différents types d'éléments. |
|
PDFParserMailtoURICount |
Le fichier contient un nombre anormalement élevé de liens d'e-mail (mailto:). |
|
PDFParserMinPageCount |
Le fichier présente une structure inhabituelle d'objets de page, notamment un nombre élevé d'objets de page enfant par nœud. |
|
PDFParserNamesPoundName MaxLength |
Le fichier peut tenter d'obscurcir son contenu en utilisant de longues chaines codées. |
|
PDFParserNamesPoundName MinLength |
Le fichier contient une longueur minimale de nom d'échappement anormalement élevée. |
|
PDFParserNamesPoundName TotalLength |
Le fichier peut tenter d'obscurcir son contenu en stockant une grande partie de son contenu dans des chaines codées. |
|
PDFParserNamesPoundName UpperCount |
Le fichier contient un nombre anormalement élevé de noms d'échappement avec des caractères hexadécimaux en majuscules. |
|
PDFParserNamesPoundName ValidCount |
Le fichier contient un nombre anormalement élevé de noms d'échappement valides. |
|
PDFParserNamesPoundPerName MaxCount |
Le fichier contient un nombre maximal de caractères d'échappement par nom unique anormalement élevé. |
|
PDFParserNamesPound UnnecessaryCount |
Le fichier contient un nombre anormalement élevé de noms d'échappement inutiles. |
|
PDFParserNumbersLeading DigitTallies8 |
Le fichier contient un nombre anormalement élevé de nombres commençant par 8 dans la représentation décimale. |
|
PDFParserNumbersPlusCount |
Le fichier contient un nombre anormalement élevé de nombres avec le signe plus explicite. |
|
PDFParserNumbersRealMax RawLength |
Le fichier contient une longueur maximale de nombres réels anormalement élevée. |
|
PDFParserPageCounts |
Le fichier contient un nombre anormalement élevé d'objets de page enfant. |
|
PDFParserPageObjectCount |
Le fichier contient un nombre anormalement élevé d'objets de page. |
|
PDFParserSizeEOF |
Le fichier contient une ou plusieurs séquences de fin de fichier anormalement longues. |
|
PDFParserStringsHexLowerCount |
Le fichier contient un nombre anormalement élevé de chaines d'échappement avec des chiffres hexadécimaux en minuscules. |
|
PDFParserStringsLiteralString MaxLength |
Le fichier contient une longueur maximale de chaine littérale anormalement élevée. |
|
PDFParserStringsOctalZero PaddedCount |
Le fichier contient un nombre de caractères d'échappement octaux anormalement élevé dans des chaines qui sont inutilement complétées à zéro. |
|
PDFParserTrailerSpread |
Le fichier contient une propagation anormalement importante entre les objets de fin. |
|
PDFParserWhitespaceComment MaxLength |
La longueur maximale d'un commentaire dans le fichier est anormalement élevée. |
|
PDFParserWhitespaceComment MinLength |
Le fichier contient de brefs commentaires inhabituels qui ne sont pas utilisés par le logiciel de lecture. |
|
PDFParserWhitespaceComment TotalLength |
Le fichier contient une quantité anormalement importante de données commentées. |
|
PDFParserWhitespaceEOL0ACount |
Le fichier contient un nombre anormalement élevé de caractères de fin de ligne courts. |
|
PDFParserWhitespaceWhitespace 00Count |
Le fichier contient un nombre anormalement élevé d'octets nuls utilisés comme espaces. |
|
PDFParserWhitespaceWhitespace 09Count |
Le fichier contient un nombre anormalement élevé d'octets 09 utilisés comme espace. |
|
PDFParserWhitespaceWhitespace LongestRun |
Le fichier contient une zone d'espace anormalement longue. |
|
PDFParserWhitespaceWhitespace TotalLength |
Le fichier contient un nombre d'espaces anormalement élevé. |
|
PDFParseru3DObjectsNames AllNames |
Le fichier contient un nombre anormalement élevé d'objets U3D. |
|
PossibleBAT |
Le fichier contient la preuve qu'un fichier batch Windows standard est inclus. Le logiciel malveillant évite les techniques d'analyse courantes et assure sa persistance. |
|
PossibleDinkumware |
Le fichier inclut certains composants de DinkumWare. Dinkumware est fréquemment utilisé dans divers composants malveillants. |
|
PropertyImpropriety |
Le fichier contient des propriétés OOXML suspectes. |
|
RaiseExceptionImports |
Le fichier importe des fonctions utilisées pour générer des exceptions au sein d'un programme. Les logiciels malveillants mettent en place des tactiques pour rendre l'analyse de code dynamique standard difficile à suivre. |
|
ReservedFieldsViolation |
Le fichier enfreint la spécification concernant l'utilisation de champs réservés. |
|
ResourceAnomaly |
La section des ressources de ce fichier contient une anomalie. Les logiciels malveillants contiennent souvent des bits dont le format est incorrect ou des bits impairs dans la section des ressources d'une DLL. |
|
RWXSection |
Ce PE peut contenir un code modifiable, qui est dans le meilleur des cas non orthodoxe et dans le pire des cas symptomatique d'une infection virale. Cette fonction implique souvent que le fichier n'a pas été créé à l'aide d'un compilateur standard ou qu'il a été modifié après sa création initiale. |
|
SectorMalfeasance |
Le fichier contient des anomalies structurelles avec l'allocation de secteur OLE. |
|
StringInvalid |
L'une des références à une chaine dans une table de chaines pointe vers un décalage négatif. |
|
StringTableNotTerminated |
Une table de chaines ne se termine pas par un octet nul. Cela peut entrainer une erreur lors de l'exécution en raison d'une chaine qui ne se termine pas. |
|
StringTruncated |
L'une des références à une chaine dans une table de chaines a pointé vers un emplacement après la fin du fichier. |
|
SuspiciousPDataSection |
Ce PE masque un élément difficile à identifier dans la zone pdata. La section « pdata » d'un fichier PE est généralement utilisée pour traiter les structures d'exécution, mais ce fichier particulier contient autre chose. |
|
SuspiciousRelocSection |
Ce PE masque un élément difficile à identifier dans la zone « relocations ». La zone « relocations » d'un fichier PE est généralement utilisée pour déplacer des symboles particuliers, mais ce fichier particulier contient autre chose. |
|
SuspiciousDirectoryNames |
Le fichier contient des noms de répertoire OLE associés à une malveillance. |
|
SuspiciousDirectoryStructure |
Le fichier signale des anomalies dans la structure de répertoire OLE. |
|
SuspiciousEmbedding |
Le fichier utilise une intégration suspecte d'OLE. |
|
SuspiciousVBA |
Le fichier contient un code VBA suspect. |
|
SuspiciousVBALib |
Le fichier indique une utilisation suspecte de la bibliothèque VBA. |
|
SuspiciousVBANames |
Le fichier contient des noms suspects associés aux structures VBA. |
|
SuspiciousVBAVersion |
Le fichier contient des versions VBA suspectes. |
|
SWFOddity |
Le fichier contient certaines utilisations suspectes du SWF intégré. |
|
TooMalformedToProcess |
Le fichier est incorrectement formé, à tel point qu'il est impossible à analyser dans son intégralité. |
|
VersionAnomaly |
Le fichier rencontre des problèmes avec la façon dont il présente ses informations de version. Les logiciels malveillants procèdent ainsi pour ne pas être détectés. |
Collection
Ces indicateurs représentent les situations dans lesquelles le fichier contient des éléments qui indiquent des fonctions ou des preuves de collecte de données. Il peut s'agir de l'énumération de la configuration du système ou de la collecte d'informations sensibles spécifiques.
|
Indicateur |
Description |
|---|---|
|
BrowserInfoTheft |
Le fichier contient la preuve d'une intention de lire les mots de passe stockés dans le cache du navigateur. Les logiciels malveillants utilisent cette fonctionnalité pour recueillir les mots de passe pour exfiltration. |
|
CredentialProvider |
Le fichier contient la preuve d'une interaction avec un fournisseur d'informations d'identification ou le souhait d'apparaitre comme tel. Les logiciels malveillants procèdent de cette manière lorsque les fournisseurs d'informations d'identification accèdent à de nombreux types de données sensibles, tels que les noms d'utilisateur et les mots de passe. Ce faisant, ils peuvent compromettre l'intégrité de l'authentification. |
|
CurrentUserInfoImports |
Le fichier importe des fonctions utilisées pour collecter les informations sur l'utilisateur actuellement connecté. Les logiciels malveillants déterminent des moyens d'action pour escalader les privilèges et mieux adapter les futures attaques. |
|
DebugStringImports |
Le fichier importe des fonctions utilisées pour générer les chaines de débogage. En général, cette fonction est désactivée dans les logiciels de production, mais reste activée dans les logiciels malveillants en cours de test. |
|
DiskInfoImports |
Le fichier importe des fonctions pouvant être utilisées pour collecter les détails des volumes sur le système. Les logiciels malveillants l'utilisent conjointement avec la liste pour déterminer des éléments sur les volumes en vue d'une nouvelle attaque. |
|
EnumerateFileImports |
Le fichier importe des fonctions utilisées pour répertorier les fichiers. Les logiciels malveillants l'utilisent pour rechercher des données sensibles ou d'autres points d'attaque. |
|
EnumerateModuleImports |
Le fichier importe des fonctions pouvant être utilisées pour dresser la liste de toutes les DLL qu'un processus en cours d'exécution utilise. Les programmes malveillants utilisent cette fonctionnalité pour localiser et cibler des bibliothèques spécifiques à charger dans un processus et pour mapper un processus qu'ils souhaitent injecter. |
|
EnumerateNetwork |
Le fichier démontre une capacité à tenter d'énumérer les réseaux et cartes réseau connectés. Les logiciels malveillants le font pour déterminer l'emplacement d'un système cible par rapport aux autres et pour rechercher d'éventuels chemins latéraux. |
|
EnumerateProcessImports |
Le fichier importe des fonctions pouvant être utilisées pour dresser la liste de tous les processus en cours d'exécution sur un système. Les logiciels malveillants l'utilisent pour localiser les processus dans lesquels injecter ou ceux qu'ils souhaitent supprimer. |
|
EnumerateVolumeImports |
Le fichier importe des fonctions pouvant être utilisées pour répertorier les volumes sur le système. Les logiciels malveillants l'utilisent pour trouver toutes les zones dont ils pourraient avoir besoin pour rechercher des données ou propager une infection. |
|
GinaImports |
Le fichier importe des fonctions utilisées pour accéder à Gina. Un logiciel malveillant l'utilise pour tenter de violer le système de saisie de mot de passe sécurisé Ctrl+Alt+Suppr ou d'autres fonctions de connexion au réseau. |
|
HostnameSearchImports |
Le fichier importe des fonctions utilisées pour collecter des informations relatives aux noms d'hôte sur le réseau et au nom d'hôte de la machine proprement dite. Le logiciel malveillant utilise cette fonctionnalité pour mieux cibler d'autres attaques ou rechercher de nouvelles cibles. |
|
KeystrokeLogImports |
Le fichier importe des fonctions pouvant capturer et consigner les frappes de touches à partir du clavier. Les logiciels malveillants tentent ici de capturer et d'enregistrer les frappes de touches afin de trouver des informations sensibles telles que les mots de passe. |
|
OSInfoImports |
Le fichier importe des fonctions utilisées pour collecter des informations sur le système d'exploitation actuel. Les logiciels malveillants utilisent cette fonctionnalité pour déterminer comment mieux adapter les attaques et transmettre des informations à un contrôleur. |
|
PossibleKeylogger |
Le fichier contient des preuves d'activité de type enregistreur de frappe. Les logiciels malveillants utilisent des enregistreurs de frappe pour recueillir des informations sensibles à partir du clavier. |
|
PossiblePasswords |
Le fichier inclut des mots de passe communs ou une structure permettant le forçage brut des mots de passe communs. Les logiciels malveillants tentent ici de pénétrer dans un réseau en accédant à d'autres ressources à l'aide de mots de passe. |
|
ProcessorInfoWMI |
Le fichier importe des fonctions pouvant être utilisées pour déterminer des informations détaillées sur le processeur. Les logiciels malveillants l'utilisent pour adapter les attaques et exfiltrer ces données vers une infrastructure de commande et de contrôle commune. |
|
RDPUsage |
Le fichier interagit avec le protocole RDP (Remote Desktop Protocol). Les logiciels malveillants l'utilisent pour se déplacer latéralement et offrir des fonctionnalités de commande et de contrôle directes. |
|
SpyString |
Le fichier exécute probablement un logiciel espion qui surveille le presse-papiers ou les actions de l'utilisateur lors de l'utilisation de l'API d'accessibilité. |
|
SystemDirImports |
Le fichier importe des fonctions servant à localiser le répertoire système. Les logiciels malveillants tentent ici de localiser un grand nombre de fichiers binaires système installés, car ils se cachent souvent parmi eux. |
|
UserEnvInfoImports |
Le fichier importe des fonctions servant à collecter des informations sur l'environnement de l'utilisateur actuellement connecté. Les logiciels malveillants tentent ici de déterminer les détails de l'utilisateur connecté et de rechercher d'autres informations pouvant être obtenues à partir des variables d'environnement. |
Perte de données
Ces indicateurs représentent les situations dans lesquelles le fichier contient des éléments qui indiquent des fonctions ou des preuves d'exfiltration de données. Il peut s'agir de connexions réseau sortantes, de preuves d'agissement en tant que navigateur ou d'autres communications réseau.
|
Indicateur |
Description |
|---|---|
|
AbnormalNetworkActivity |
Le fichier implémente une méthode de mise en réseau non standard. Les programmes malveillants tentent ici d'éviter la détection d'approches réseau plus courantes. |
|
BrowserPluginString |
Le fichier indique la capacité d'énumérer ou d'installer des plug-ins de navigateur. |
|
ContainsBrowserString |
Le fichier contient la preuve d'une tentative de création d'une chaine UserAgent personnalisée. Les logiciels malveillants utilisent fréquemment des chaines UserAgent courantes pour ne pas être détectés dans les requêtes sortantes. |
|
DownloadFileImports |
Le fichier importe des fonctions pouvant être utilisées pour télécharger des fichiers sur le système. Les logiciels malveillants l'utilisent pour déclencher une attaque et exfiltrer les données via l'URL sortante. |
|
FirewallModifyImports |
Le fichier importe des fonctions capables de modifier le pare-feu Windows local. Les logiciels malveillants l'utilisent pour ouvrir des brèches et éviter d'être détectés. |
|
HTTPCustomHeaders |
Le fichier contient des preuves de la création d'autres entêtes HTTP personnalisés. Les logiciels malveillants tentent ici de faciliter les interactions avec les infrastructures de commande et de contrôle et d'éviter toute détection. |
|
IRCCommands |
Le fichier contient des preuves d'interaction avec un serveur IRC. Les logiciels malveillants utilisent généralement IRC pour faciliter une infrastructure de commande et de contrôle. |
|
MemoryExfiltrationImports |
Le fichier importe des fonctions qui peuvent être utilisées pour lire la mémoire à partir d'un processus en cours d'exécution. Les logiciels malveillants l'utilisent pour déterminer les emplacements appropriés dans lesquels s'insérer ou pour extraire des informations utiles de la mémoire d'un processus en cours d'exécution, telles que des mots de passe, des données de carte de crédit ou d'autres informations sensibles. |
|
NetworkOutboundImports |
Le fichier importe des fonctions qui peuvent être utilisées pour envoyer des données hors du réseau ou d'Internet. Les logiciels malveillants l'utilisent pour exfiltrer des données ou comme méthode de commande et de contrôle. |
|
PipeUsage |
Le fichier importe des fonctions qui permettent la manipulation de canaux nommés. Les logiciels malveillants l'utilisent comme méthode de communication et d'exfiltration des données. |
|
RPCUsage |
Le fichier importe des fonctions qui lui permettent d'interagir avec une infrastructure RPC (Remote Procedure Call). Les logiciels malveillants l'utilisent pour diffuser ou envoyer des données à des systèmes distants à des fins d'exfiltration. |
Tromperie
Ces indicateurs représentent les situations dans lesquelles le fichier contient des éléments qui indiquent des fonctions ou des preuves d'un fichier trompeur. La tromperie peut prendre la forme de sections masquées, d'inclusion de code pour éviter la détection ou d'indications qu'elle est mal étiquetée dans les métadonnées ou d'autres sections.
|
Indicateur |
Description |
|---|---|
|
AddedHeader |
Le fichier contient un entête PE obscurci supplémentaire qui peut être une charge utile malveillante masquée. |
|
AddedKernel32 |
Le fichier contient une référence obscurcie supplémentaire à kernel32.dll, une bibliothèque qui peut être utilisée par une charge utile malveillante. |
|
AddedMscoree |
Le fichier contient une référence obscurcie supplémentaire à mscoree.dll, une bibliothèque qui peut être utilisée par une charge utile malveillante. |
|
AddedMsvbvm |
Le fichier contient une référence obscurcie supplémentaire à msvbvm, une bibliothèque qui peut être utilisée par une charge utile malveillante compilée pour Microsoft Visual Basic 6. |
|
AntiVM |
Le fichier présente des caractéristiques susceptibles de déterminer si le processus est en cours d'exécution sur une machine virtuelle. Les logiciels malveillants l'utilisent pour éviter de s'exécuter dans des bacs à sable virtualisés qui deviennent de plus en plus courants. |
|
AutoitDownloadExecute |
Le script AutoIt peut télécharger et exécuter des fichiers. Cette opération permet souvent de livrer des charges utiles malveillantes supplémentaires. |
|
AutoitObfuscationStringConcat |
Le script AutoIt est probablement obscurci par la concaténation de chaines. Cela permet souvent d'éviter la détection de commandes suspectes complètes. |
|
AutoitShellcodeCalling |
Le script AutoIt utilise la fonction d'API Windows CallWindowProc(), qui peut indiquer l'injection d'un shellcode. |
|
AutoitUseResources |
Le script AutoIt utilise des données provenant de ressources stockées avec le script. Les logiciels malveillants stockent souvent des parties importantes d'eux-mêmes sous forme de données de ressources, qu'ils décompactent lors de l'exécution, ce qui éveille la suspicion. |
|
CabinentUsage |
Le fichier inclut visiblement un fichier CAB. Les logiciels malveillants l'utilisent pour regrouper les composants sensibles de manière à ne pas être détectés. |
|
ClearKernel32 |
Le fichier contient une référence à kernel32.dll, une bibliothèque qui peut être utilisée par une charge utile malveillante. |
|
ClearMscoree |
Le fichier contient une référence à mscoree.dll, une bibliothèque qui peut être utilisée par une charge utile malveillante. |
|
ClearMsvbvm |
Le fichier contient une référence à msvbvm.dll, une bibliothèque qui peut être utilisée par une charge utile malveillante compilée pour Microsoft Visual Basic 6. |
|
ComplexInvalidVersion |
Le fichier déclare la version PDF incorrecte. |
|
ComplexJsStenographySuspected |
Le fichier peut contenir du code JavaScript masqué dans des chaines littérales. |
|
ContainsEmbeddedDocument |
Le fichier contient un document incorporé dans l'objet. Les logiciels malveillants peuvent l'utiliser pour propager une attaque à plusieurs sources ou pour dissimuler sa véritable forme. |
|
CryptoKeys |
Le fichier contient des preuves de la présence d'une clé cryptographique intégrée. Le logiciel malveillant procède ainsi pour éviter toute détection ou peut-être pour fournir une authentification avec des services à distance. |
|
DebugCheckImports |
Le fichier importe des fonctions qui lui permettent d'agir comme un débogueur. Les logiciels malveillants utilisent cette fonctionnalité pour lire et écrire à partir d'autres processus. |
|
EmbeddedPE |
Le PE en contient d'autres PE, ce qui est généralement le cas uniquement avec les programmes d'installation de logiciels. Les logiciels malveillants intègrent souvent un fichier PE qu'ils déposent sur le disque, puis exécutent. Cette technique est souvent utilisée pour éviter les scanneurs de protection en regroupant les fichiers binaires dans un format que la technologie de numérisation sous-jacente ne comprend pas. |
|
EncodedDosStub1 |
Le fichier PE contient un élément de remplacement DOS PE obscurci qui peut appartenir à une charge utile malveillante masquée. |
|
EncodedDosStub2 |
Le fichier PE contient un élément de remplacement DOS PE obscurci qui peut appartenir à une charge utile malveillante masquée. |
|
EncodedPE |
Le fichier PE contient des PE supplémentaires, ce qui est extrêmement suspect. Cet indicateur est similaire à l'indicateur EmbeddedPE, mais utilise un schéma de codage pour tenter de masquer davantage le code binaire à l'intérieur de l'objet. |
|
ExecuteDLL |
Le fichier PE contient une fonctionnalité permettant d'exécuter une DLL à l'aide de méthodes courantes. Les programmes malveillants utilisent cette méthode pour éviter les pratiques de détection courantes. |
|
FakeMicrosoft |
Le fichier PE prétend être écrit par Microsoft, mais il ne ressemble pas à un fichier PE Microsoft. Les logiciels malveillants se font généralement passer pour des fichiers PE Microsoft pour passer inaperçus. |
|
HiddenMachO |
Le fichier contient un autre fichier exécutable MachO, qui n'est pas correctement déclaré. Il peut s'agir d'une tentative visant à éviter que la charge utile ne soit facilement détectée. |
|
HTTPCustomUserAgent |
Le fichier contient des preuves de manipulation de la chaine UserAgent du navigateur. Les logiciels malveillants tentent ici de faciliter les interactions avec les infrastructures de commande et de contrôle et d'éviter toute détection. |
|
InjectProcessImports |
Le fichier PE peut injecter du code dans d'autres processus. Cette fonctionnalité implique souvent qu'un processus tente d'être trompeur ou hostile d'une manière ou d'une autre. |
|
InvisibleEXE |
Le fichier PE semble s'exécuter de manière invisible, mais il ne s'agit pas d'un service en arrière-plan. Il peut être conçu pour rester caché. |
|
JSTokensSuspicious |
Le fichier contient un JavaScript inhabituellement suspect. |
|
MSCertStore |
Le fichier présente des signes d'interaction avec le magasin de certificats Windows principal. Les logiciels malveillants procèdent ainsi pour recueillir des informations d'identification et insérer des clés indésirables dans le flux, afin de faciliter des attaques par interception. |
|
MSCryptoImports |
Le fichier importe des fonctions pour utiliser la bibliothèque de cryptographie Windows de base. Les logiciels malveillants utilisent cette fonctionnalité pour exploiter la cryptographie installée en local et ne pas avoir à utiliser la leur. |
|
PDFParserDotDotSlash1URICount |
Le fichier peut effectuer une tentative Path Traversal à l'aide de chemins relatifs tels que « ../ ». |
|
PDFParserJavaScriptMagicseval~28 |
Le fichier peut contenir un JavaScript obscurci ou exécuter un JavaScript chargé de manière dynamique avec eval(). |
|
PDFParserJavaScriptMagic sunescape~28 |
Le fichier peut contenir un JavaScript obscurci. |
|
PDFParserjsObjectsLength |
Le fichier contient un nombre anormalement élevé de scripts JavaScript individuels. |
|
PDFParserJSStreamCount |
Le fichier contient un nombre anormalement élevé de flux liés à JavaScript. |
|
PDFParserJSTokenCounts0 cumulativesum |
Le fichier contient un nombre anormalement élevé de jetons JavaScript. |
|
PDFParserJSTokenCounts1 cumulativesum |
Le fichier contient un nombre anormalement élevé de jetons JavaScript. |
|
PDFParserNamesAllNames Suspicious |
Le fichier contient un nombre anormalement élevé de noms suspects. |
|
PDFParserNamesObfuscatedNames Suspicious |
Le fichier contient un nombre anormalement élevé de noms obscurcis. |
|
PDFParserPEDetections |
Le fichier contient un ou plusieurs fichiers PE intégrés. |
|
PDFParserSwfObjectsxObservationsx SWFObjectsversion |
Le fichier contient un objet SWF avec un numéro de version inhabituel. |
|
PDFParserSwfObjectsxObservation sxSWFObjectsxZLibcmfSWFObjectsx ZLibcmf |
Le fichier contient un objet SWF avec des paramètres de compression inhabituels. |
|
PDFParserswfObjectsxObservations xSWFObjectsxZLibflg |
Le fichier contient un objet SWF avec des paramètres d'indicateur de compression inhabituels. |
|
PE_ClearDosStub1 |
Le fichier contient un élément de remplacement DOS, ce qui indique l'inclusion du fichier PE. |
|
PE_ClearDosStub2 |
Le fichier contient un élément de remplacement DOS, ce qui indique l'inclusion du fichier PE. |
|
PE_ClearHeader |
Le fichier contient des données d'entête de fichier PE qui n'appartiennent pas à la structure du fichier. |
|
PEinAppendedSpace |
Le fichier contient un fichier PE qui n'appartient pas à la structure du fichier. |
|
PEinFreeSpace |
Le fichier contient un fichier PE qui n'appartient pas à la structure du fichier. |
|
ProtectionExamination |
Le fichier semble rechercher des systèmes de protection communs. Le programme malveillant procède ainsi pour lancer une action antiprotection adaptée à celle installée sur le système. |
|
SegmentSuspiciousName |
Un segment contient une chaine non valide, notamment un nom ou un nom non standard inhabituel. Cela peut indiquer une altération postcompilation ou l'utilisation de conditionneurs ou d'obscurcisseurs de code. |
|
SegmentSuspiciousSize |
La taille du segment est sensiblement différente de celle de l'ensemble des sections du contenu. Cela peut être le signe de l'utilisation d'une zone non référencée ou de la réservation d'espace pour la décompression du code malveillant pendant l'exécution. |
|
SelfExtraction |
Le fichier semble être une archive à extraction automatique. Les logiciels malveillants utilisent souvent cette tactique pour brouiller leurs véritables intentions. |
|
ServiceDLL |
Le fichier semble être une DLL de service. Les DLL de service sont chargées dans les processus svchost.exe et constituent une méthodologie de persistance courante pour les logiciels malveillants. |
|
StringJsSplitting |
Le fichier contient des jetons JS suspects. |
|
SWFinAppendedSpace |
Le fichier contient un objet flash Shockwave qui n'appartient pas à la structure du document. |
|
TempFileImports |
Le fichier importe des fonctions utilisées pour accéder aux fichiers temporaires et les manipuler. Les logiciels malveillants procèdent ainsi, car les fichiers temporaires ont tendance à éviter la détection. |
|
UsesCompression |
Certaines parties du code du fichier semblent être compressées. Les logiciels malveillants utilisent ces techniques pour éviter la détection. |
|
VirtualProtectImports |
Le fichier importe des fonctions servant à modifier la mémoire d'un processus en cours d'exécution. Les logiciels malveillants procèdent ainsi pour s'injecter dans les processus en cours d'exécution. |
|
XoredHeader |
Le fichier contient un entête PE obscurci xor qui peut être une charge utile malveillante masquée. |
|
XoredKernel32 |
Le fichier contient une référence obscurcie xor à kernel32.dll, une bibliothèque qui peut être utilisée par une charge utile malveillante. |
|
XoredMscoree |
Le fichier contient une référence obscurcie xor à mscoree.dll, une bibliothèque qui peut être utilisée par une charge utile malveillante. |
|
XoredMsvbvm |
Le fichier contient une référence obscurcie xor à msvbvm, une bibliothèque qui peut être utilisée par une charge utile malveillante compilée pour Microsoft Visual Basic 6. |
Destruction
Ces indicateurs représentent les situations dans lesquelles le fichier contient des éléments qui indiquent des fonctions ou des preuves de destruction. Les fonctionnalités destructrices incluent la possibilité de supprimer des ressources système telles que des fichiers ou des répertoires.
|
Indicateur |
Description |
|---|---|
|
action_writeByte |
Le script VBA dans le document écrit probablement des octets dans un fichier. Cette action est inhabituelle pour un document légitime. |
|
action_hexToBin |
Le script VBA du fichier utilise probablement une conversion hexadécimale en binaire, ce qui peut indiquer le décodage d'une charge utile malveillante masquée. |
|
appended_URI |
Le fichier contient un lien qui n'appartient pas à la structure du fichier. |
|
appended_exploit |
Le fichier contient des données suspectes en dehors de la structure du fichier, ce qui peut révéler la présence d'une faille. |
|
appended_macro |
Le fichier contient un script de macro qui n'appartient pas à la structure du fichier. |
|
appended_90_nopsled |
Le fichier contient un nop-sled qui n'appartient pas à la structure du fichier, ce qui sert vraisemblablement à faciliter l'exploitation d'une faille. |
|
AutorunsPersistence |
Le fichier tente d'interagir avec les méthodes courantes de persistance (par exemple, les scripts de démarrage). Les logiciels malveillants utilisent généralement ces tactiques pour parvenir à la persistance. |
|
DestructionString |
Le fichier dispose de fonctionnalités permettant d'interrompre des processus ou d'arrêter la machine par l'intermédiaire de commandes shell. |
|
FileDirDeleteImports |
Le fichier PE importe des fonctions qui peuvent servir à supprimer des fichiers ou des répertoires. Les programmes malveillants utilisent cette méthode pour arrêter les systèmes et brouiller les pistes. |
|
JsHeapSpray |
Le fichier contient probablement un code HeapSpray. |
|
PossibleLocker |
Le fichier démontre la volonté de verrouiller les outils courants par stratégie. Les logiciels malveillants procèdent ainsi pour conserver la persistance et rendre la détection et le nettoyage plus difficiles. |
|
RegistryManipulation |
Le fichier importe des fonctions utilisées pour manipuler le registre Windows. Les logiciels malveillants procèdent ainsi pour parvenir à la persistance et éviter la détection, entre autres nombreuses raisons. |
|
SeBackupPrivilege |
Le fichier PE peut tenter de lire les fichiers auxquels il n'a pas accès. Le privilège SeBackup permet d'accéder aux fichiers sans respecter les contrôles d'accès. Il est fréquemment utilisé par les programmes qui gèrent les sauvegardes et se limite souvent aux administrateurs, mais peut être utilisé de manière malveillante pour accéder à des éléments spécifiques habituellement difficiles d'accès. |
|
SeDebugPrivilege |
Le fichier PE peut tenter d'altérer les processus système. Le privilège SeDebug permet d'accéder à des processus autres que les vôtres et se limite souvent aux administrateurs. Il est souvent associé à la lecture et à l'écriture dans d'autres processus. |
|
SeRestorePrivilege |
Le fichier PE peut tenter de modifier ou de supprimer les fichiers auxquels il n'a pas accès. Le privilège SeRestore permet l'écriture sans tenir compte du contrôle d'accès. |
|
ServiceControlImports |
Le fichier importe des fonctions pouvant contrôler les services Windows sur le système actuel. Un programme malveillant utilise cette fonctionnalité soit pour s'exécuter en arrière-plan (en s'installant en tant que service) soit pour désactiver d'autres services censés protéger le système. |
|
SkylinedHeapSpray |
Le fichier contient une version non modifiée du code HeapSpray de Skylined. |
|
SpawnProcessImports |
Le fichier PE importe des fonctions pouvant être utilisées pour générer un autre processus. Les programmes malveillants utilisent cette fonctionnalité pour lancer les phases suivantes d'une infection, généralement téléchargées sur Internet. |
|
StringJsExploit |
Le fichier contient du code JavaScript capable de lancer des exploits. |
|
StringJsObfuscation |
Le fichier contient des jetons d'obfuscation JavaScript. |
|
TerminateProcessImports |
Le fichier importe des fonctions pouvant être utilisées pour arrêter un processus en cours d'exécution. Les programmes malveillants utilisent cette fonctionnalité pour tenter de supprimer des systèmes de protection ou pour endommager un système en cours d'exécution. |
|
trigger_AutoClose |
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de la fermeture du fichier. |
|
trigger_Auto_Close |
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de la fermeture du fichier. |
|
trigger_AutoExec |
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement. |
|
trigger_AutoExit |
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de la fermeture du document. |
|
trigger_AutoNew |
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de la création d'un document. |
|
trigger_AutoOpen |
Le script VBA dans le fichier est susceptible de s'exécuter dès l'ouverture du fichier. |
|
trigger_Auto_Open |
Le script VBA dans le fichier est susceptible de s'exécuter dès l'ouverture du fichier. |
|
trigger_DocumentBeforeClose |
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement juste avant la fermeture du fichier. |
|
trigger_DocumentChange |
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de la modification du fichier. |
|
trigger_Document_Close |
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de la fermeture du fichier. |
|
trigger_Document_New |
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de la création d'un fichier. |
|
trigger_DocumentOpen |
Le script VBA dans le fichier est susceptible de s'exécuter dès l'ouverture du fichier. |
|
trigger_Document_Open |
Le script VBA dans le fichier est susceptible de s'exécuter dès l'ouverture du fichier. |
|
trigger_NewDocument |
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de la création d'un fichier. |
|
trigger_Workbook_Close |
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de la fermeture d'une feuille de calcul Microsoft Excel. |
|
trigger_Workbook_Open |
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de l'ouverture d'une feuille de calcul Microsoft Excel. |
|
UserManagementImports |
Le fichier importe des fonctions pouvant être utilisées pour changer d'utilisateur sur le système local. Il peut ajouter, supprimer ou modifier des informations clés sur l'utilisateur. Les logiciels malveillants peuvent utiliser cette fonctionnalité pour assurer la persistance ou nuire au système local. |
|
VirtualAllocImports |
Le fichier importe des fonctions utilisées pour créer une mémoire dans un processus en cours d'exécution. Les logiciels malveillants procèdent ainsi pour s'injecter dans le processus en cours d'exécution. |
Shellcodes
Ces indicateurs représentent les situations où un petit élément de code est utilisé comme charge utile dans l'exploitation d'une vulnérabilité logicielle. Cet élément est appelé « shellcode », car il démarre généralement un shell de commande à partir duquel l'utilisateur malveillant peut contrôler la machine compromise, bien que tout code qui effectue une tâche similaire puisse être appelé shellcode.
|
Indicateur |
Description |
|---|---|
|
ApiHashing |
Le fichier contient une séquence d'octets ressemblant à un shellcode qui tente de détecter furtivement les API de bibliothèque chargées dans la mémoire. |
|
BlackholeV2 |
Le fichier semble provenir du kit d'exploitation Blackhole. |
|
ComplexGotoEmbed |
Le fichier peut forcer un navigateur à accéder à une adresse ou à exécuter une action. |
|
ComplexSuspiciousHeaderLocation |
L'entête PDF est situé à un décalage différent de zéro, ce qui peut indiquer une tentative d'empêcher le fichier d'être reconnu comme un document PDF. |
|
EmbeddedTiff |
Le fichier peut contenir une image TIFF créée avec nop-sled pour faciliter l'exploitation d'une faille. |
|
EmbeddedXDP |
Le fichier contient probablement un autre PDF en tant que fichier XDP (XML Data Package). |
|
FindKernel32Base1 |
Le fichier contient une séquence d'octets ressemblant à un shellcode qui tente de localiser kernel32.dll dans la mémoire. |
|
FindKernel32Base2 |
Le fichier contient une séquence d'octets ressemblant à un shellcode qui tente de localiser kernel32.dll dans la mémoire. |
|
FindKernel32Base3 |
Le fichier contient une séquence d'octets ressemblant à un shellcode qui tente de localiser kernel32.dll dans la mémoire. |
|
FunctionPrologSig |
Le fichier contient une séquence d'octets qui est une fonction prolog classique susceptible de contenir un shellcode. |
|
GetEIP1 |
Le fichier contient une séquence d'octets s'apparentant à un shellcode qui résout sa propre adresse pour localiser d'autres éléments en mémoire et faciliter l'exploitation. |
|
GetEIP4 |
Le fichier contient une séquence d'octets s'apparentant à un shellcode qui résout sa propre adresse pour localiser d'autres éléments en mémoire et faciliter l'exploitation. |
|
IndirectFnCall1 |
Le fichier contient une séquence d'octets qui s'apparente à un appel de fonction indirect, probablement un shellcode. |
|
IndirectFnCall2 |
Le fichier contient une séquence d'octets qui s'apparente à un appel de fonction indirect, probablement un shellcode. |
|
IndirectFnCall3 |
Le fichier contient une séquence d'octets qui s'apparente à un appel de fonction indirect, probablement un shellcode. |
|
SehSig |
Le fichier contient une séquence d'octets classique d'une gestion structurée des exceptions, qui contient probablement un shellcode. |
|
StringLaunchActionBrowser |
Le fichier peut forcer un navigateur à accéder à une adresse ou à exécuter une action. |
|
StringLaunchActionShell |
Le fichier peut exécuter des actions de shell. |
|
StringSingExploit |
Le fichier peut contenir une exploitation. |
Indicateurs divers
Cette section répertorie les indicateurs qui ne correspondent pas aux autres catégories.
|
Indicateur |
Description |
|---|---|
|
AutoitFileOperations |
Le script AutoIt peut exécuter plusieurs actions sur les fichiers. Il peut être utilisé pour la collecte, la persistance ou la destruction d'informations. |
|
AutorunString |
Le fichier a la capacité d'obtenir une persistance à l'aide d'un ou de plusieurs mécanismes d'exécution automatique. |
|
CodepageLookupImports |
Le fichier importe des fonctions utilisées pour rechercher la page de codes (emplacement) d'un système en cours d'exécution. Les programmes malveillants utilisent cette fonctionnalité pour différencier le pays/la région où un système est exécuté afin de mieux cibler des groupes particuliers. |
|
MutexImports |
Le fichier importe des fonctions pour créer et manipuler des objets mutex. Les logiciels malveillants utilisent fréquemment des objets mutex pour éviter d'infecter un système à plusieurs reprises. |
|
OpenSSLStatique |
Le fichier contient une version d'OpenSSL compilée de telle manière qu'elle semble furtive. Les logiciels malveillants procèdent ainsi pour inclure la fonctionnalité de cryptographie sans paraitre suspects. |
|
PListString |
Le fichier a la capacité d'interagir avec les listes de propriétés utilisées par le système d'exploitation. Il peut donc obtenir une persistance ou compromettre divers processus. |
|
PrivEscalationCryptBase |
Le fichier tente d'utiliser une escalade de privilèges à l'aide de CryptBase. Les programmes malveillants procèdent ainsi pour obtenir plus de privilèges sur le système affecté. |
|
ShellCommandString |
Le fichier a la capacité d'utiliser des commandes shell sensibles à des fins de reconnaissance, d'élévation de privilèges ou de destruction de données. |
|
SystemCallSuspicious |
Le fichier a la capacité de surveiller et/ou de contrôler le système et d'autres processus, et d'effectuer des actions de type débogage. |