Service Hacktion - Notes attachées au balado S01E06 - Identifier les familles de maliciel avec Telfhash (Trend Micro ELF Hash)

Saison Épisode
1 6

Lexique#

  • algorithme de hachage - Fonction mathématique qui permet la création d'un haché ou code de hachage en transformant un groupe de données de taille variable en un code unique de taille fixe.
  • haché ou code de hachage - Résultat d'une fonction ou d'un algorithme de hachage cryptographique.

Introduction#

telfhash pour Trend Micro ELF Hash est un haché de symboles pour les fichiers ELF, tout comme imphash est un haché d'importations pour les fichiers PE. Avec telfhash, on peut regrouper les fichiers ELF par similarité sur la base des symboles. Cela est particulièrement utile pour regrouper des échantillons malveillants. Si un échantillon n'a pas de symboles, telfhash utilise ses destinations d'adresses d'appel pour émuler une liste de symboles.

telfhash utilise TLSH (Trend Micro Locality Sensitive Hash) pour générer le code de hachage.

Source : trendmicro/telfhash

TLSH est une bibliothèque de correspondance approximative (fuzzy matching en anglais). À partir d'un flux d'octets d'une longueur minimale de 50 octets, TLSH génère un haché qui peut être utilisée pour des comparaisons de similarité. Des objets similaires auront des hachés similaires, ce qui permet de détecter des objets similaires en comparant leurs hachés. Il convient de noter que le flux d'octets doit être suffisamment complexe. Par exemple, un flux d'octets identiques ne générera pas de haché.

Source : trendmicro/tlsh

Details#

La différence avec un algorithme de hachage classique, pour lequel des objets similaires auront des hachés très différents, avec telfhash des objets similaires auront des hachés similaires.

Même si les créateurs de logiciels malveillants ajoutent de nouvelles fonctionnalités à leurs échantillons malveillants en ajoutant ou en important de nouvelles fonctions de bibliothèque, le haché telfhash restera proche de l'original et permettra toujours de déterminer si les échantillons de logiciels malveillants appartiennent à la même famille.

Actuellement, telfhash prend en charge les architectures x86, x86-64, ARM et MIPS, qui couvrent la majorité des échantillons de logiciels malveillants IoT et le haché est agnostique de l'architecture.

Le haché telfhash est affiché sur VirusTotal et les utilisateurs de VirusTotal Intelligence cliquer dessus pour trouver les autres binaires ELF similaires.

Ressources#

Partager