Passer la navigation

Indicateurs de menace

Chaque catégorie représente une zone fréquemment observée dans les logiciels malveillants.

Anomalies

Ces indicateurs représentent les situations dans lesquelles le fichier comporte des éléments incohérents ou anormaux. Il s'agit souvent d'incohérences dans les éléments structurels du fichier.
Indicateur
Description
16bitSubsystem
Ce fichier utilise le sous-système 16 bits. Les logiciels malveillants l'utilisent dans une partie moins sécurisée et moins surveillée du système d'exploitation, et souvent pour lancer des attaques par escalade des privilèges.
Anachronisme
Ce fichier exécutable semble mentir quant au moment où il a été écrit, ce qui n'est pas classique pour les logiciels écrits de manière professionnelle.
AppendedData
Ce fichier exécutable comporte un contenu supplémentaire qui lui a été ajouté, au-delà des zones normales du fichier. Les données ajoutées peuvent fréquemment être utilisées pour intégrer des données ou des codes malveillants, et elles sont souvent négligées par les systèmes de protection.
AutoitDbgPrivilege
Le script AutoIt peut procéder à des activités de débogage.
AutoitManyDllCalls
Le script AutoIt utilise de nombreux appels à des DLL externes. Le moteur d'exécution AutoIt possède déjà de nombreuses fonctions communes. Par conséquent, l'utilisation de fonctionnalités supplémentaires provenant de DLL externes peut être un signe de malveillance.
AutoitMutex
Le script AutoIt crée des objets de synchronisation. Ce script est habituellement utilisé par les logiciels malveillants pour éviter d'infecter plusieurs fois la même cible.
AutoitProcessCarving
Le script AutoIt est susceptible de reconstituer le processus pour exécuter son propre code qui semble provenir d'un autre processus. Cela est souvent le cas pour entraver la détection.
AutoitProcessInjection
Le script AutoIt est susceptible de procéder à une injection de processus pour exécuter du code dans le contexte d'autres processus, afin de ne pas être détecté ou de dérober des données.
AutoitRegWrite
Le script AutoIt écrit dans le registre
Windows
.
Base64Alphabet
Le fichier contient des preuves d'utilisation du codage Base64 d'un alphabet. Les logiciels malveillants tentent ainsi d'éviter les pratiques de détection courantes ou d'attaquer d'autres programmes qui utilisent le codage Base64.
CommandlineArgsImport
Le fichier importe des fonctions capables de lire des arguments à partir d'une ligne de commande. Les logiciels malveillants utilisent cette fonctionnalité pour recueillir des informations sur les exécutions suivantes.
ComplexMultipleFilters
Le fichier contient plusieurs flux avec divers filtres.
ComplexObfuscatedEncoding
Le fichier contient un nombre anormalement élevé de noms obscurcis.
ComplexUnsupportedVersion
EmbeddedFiles
Le fichier utilise les fonctionnalités EmbeddedFiles provenant de versions plus récentes de la norme PDF qu'il déclare.
ComplexUnsupportedVersionFlate
Le fichier utilise la fonctionnalité FlateDecode provenant de versions plus récentes de la norme PDF qu'il déclare.
ComplexUnsupportedVersionJbig2
Le fichier utilise la fonctionnalité JBIG2Decode provenant de versions plus récentes de la norme PDF qu'il déclare.
ComplexUnsupportedVersionJs
Le fichier utilise les fonctionnalités
JavaScript
provenant de versions plus récentes de la norme PDF qu'il déclare.
ComplexUnsupportedVersionXFA
Le fichier utilise les fonctionnalités XFA provenant de versions plus récentes de la norme PDF qu'il déclare.
ComplexUnsupportedVersionXobject
Le fichier utilise les fonctionnalités XOBject provenant de versions plus récentes de la norme PDF qu'il déclare.
ContainsFlash
Le fichier contient des objets flash.
ContainsPE
Le fichier contient des fichiers exécutables intégrés.
ContainsU3D
Le fichier contient des objets U3D.
InvalidCodePageUsed
Le fichier utilise un environnement local non valide ou non reconnu, probablement pour éviter la détection.
InvalidData
Les métadonnées du fichier sont de toute évidence fausses ou endommagées.
InvalidStructure
La structure du fichier n'est pas valide. La table d'allocation des tailles, des métadonnées ou du secteur interne est incorrecte, ce qui peut indiquer une faille de sécurité.
ManifestMismatch
Le manifeste du fichier est incohérent. Le logiciel malveillant évite d'être détecté, mais brouille rarement les pistes de manière optimale.
NontrivialDLLEP
Ce fichier exécutable est une DLL avec un point d'entrée non trivial. Ils sont communs dans les DLL, mais une DLL malveillante peut utiliser ce point d'entrée pour s'installer dans un processus.
NullValuesInStrings
Certaines chaines du fichier contiennent des caractères nuls.
PDFParserArraysContainsNullCount
Le fichier contient un nombre anormalement élevé de valeurs nulles dans les matrices.
PDFParserArraysHeterogeneous
Nombre
Le fichier contient un nombre anormalement élevé de matrices comprenant différents types d'éléments.
PDFParserMailtoURICount
Le fichier contient un nombre anormalement élevé de liens d'e-mail (mailto:).
PDFParserMinPageCount
Le fichier présente une structure inhabituelle d'objets de page, notamment un nombre élevé d'objets de page enfant par nœud.
PDFParserNamesPoundName
MaxLength
Le fichier peut tenter d'obscurcir son contenu en utilisant de longues chaines codées.
PDFParserNamesPoundName
MinLength
Le fichier contient une longueur minimale de nom d'échappement anormalement élevée.
PDFParserNamesPoundName
TotalLength
Le fichier peut tenter d'obscurcir son contenu en stockant une grande partie de son contenu dans des chaines codées.
PDFParserNamesPoundName
UpperCount
Le fichier contient un nombre anormalement élevé de noms d'échappement avec des caractères hexadécimaux en majuscules.
PDFParserNamesPoundName
ValidCount
Le fichier contient un nombre anormalement élevé de noms d'échappement valides.
PDFParserNamesPoundPerName
MaxCount
Le fichier contient un nombre maximal de caractères d'échappement par nom unique anormalement élevé.
PDFParserNamesPound
UnnecessaryCount
Le fichier contient un nombre anormalement élevé de noms d'échappement inutiles.
PDFParserNumbersLeading
DigitTallies8
Le fichier contient un nombre anormalement élevé de nombres commençant par 8 dans la représentation décimale.
PDFParserNumbersPlusCount
Le fichier contient un nombre anormalement élevé de nombres avec le signe plus explicite.
PDFParserNumbersRealMax
RawLength
Le fichier contient une longueur maximale de nombres réels anormalement élevée.
PDFParserPageCounts
Le fichier contient un nombre anormalement élevé d'objets de page enfant.
PDFParserPageObjectCount
Le fichier contient un nombre anormalement élevé d'objets de page.
PDFParserSizeEOF
Le fichier contient une ou plusieurs séquences de fin de fichier anormalement longues.
PDFParserStringsHexLowerCount
Le fichier contient un nombre anormalement élevé de chaines d'échappement avec des chiffres hexadécimaux en minuscules.
PDFParserStringsLiteralString
MaxLength
Le fichier contient une longueur maximale de chaine littérale anormalement élevée.
PDFParserStringsOctalZero
PaddedCount
Le fichier contient un nombre de caractères d'échappement octaux anormalement élevé dans des chaines qui sont inutilement complétées à zéro.
PDFParserTrailerSpread
Le fichier contient une propagation anormalement importante entre les objets de fin.
PDFParserWhitespaceComment
MaxLength
La longueur maximale d'un commentaire dans le fichier est anormalement élevée.
PDFParserWhitespaceComment
MinLength
Le fichier contient de brefs commentaires inhabituels qui ne sont pas utilisés par le logiciel de lecture.
PDFParserWhitespaceComment
TotalLength
Le fichier contient une quantité anormalement importante de données commentées.
PDFParserWhitespaceEOL0ACount
Le fichier contient un nombre anormalement élevé de caractères de fin de ligne courts.
PDFParserWhitespaceWhitespace
00Count
Le fichier contient un nombre anormalement élevé d'octets nuls utilisés comme espaces.
PDFParserWhitespaceWhitespace
09Count
Le fichier contient un nombre anormalement élevé d'octets 09 utilisés comme espace.
PDFParserWhitespaceWhitespace
LongestRun
Le fichier contient une zone d'espace anormalement longue.
PDFParserWhitespaceWhitespace
TotalLength
Le fichier contient un nombre d'espaces anormalement élevé.
PDFParseru3DObjectsNames
AllNames
Le fichier contient un nombre anormalement élevé d'objets U3D.
PossibleBAT
Le fichier contient la preuve qu'un fichier batch
Windows
standard est inclus. Le logiciel malveillant évite les techniques d'analyse courantes et assure sa persistance.
PossibleDinkumware
Le fichier inclut certains composants de DinkumWare. Dinkumware est fréquemment utilisé dans divers composants malveillants.
PropertyImpropriety
Le fichier contient des propriétés OOXML suspectes.
RaiseExceptionImports
Le fichier importe des fonctions utilisées pour générer des exceptions au sein d'un programme. Les logiciels malveillants mettent en place des tactiques pour rendre l'analyse de code dynamique standard difficile à suivre.
ReservedFieldsViolation
Le fichier enfreint la spécification concernant l'utilisation de champs réservés.
ResourceAnomaly
La section des ressources de ce fichier contient une anomalie. Les logiciels malveillants contiennent souvent des bits dont le format est incorrect ou des bits impairs dans la section des ressources d'une DLL.
RWXSection
Ce PE peut contenir un code modifiable, qui est dans le meilleur des cas non orthodoxe et dans le pire des cas symptomatique d'une infection virale. Cette fonction implique souvent que le fichier n'a pas été créé à l'aide d'un compilateur standard ou qu'il a été modifié après sa création initiale.
SectorMalfeasance
Le fichier contient des anomalies structurelles avec l'allocation de secteur OLE.
StringInvalid
L'une des références à une chaine dans une table de chaines pointe vers un décalage négatif.
StringTableNotTerminated
Une table de chaines ne se termine pas par un octet nul. Cela peut entrainer une erreur lors de l'exécution en raison d'une chaine qui ne se termine pas.
StringTruncated
L'une des références à une chaine dans une table de chaines a pointé vers un emplacement après la fin du fichier.
SuspiciousPDataSection
Ce PE masque un élément difficile à identifier dans la zone pdata. La section « pdata » d'un fichier PE est généralement utilisée pour traiter les structures d'exécution, mais ce fichier particulier contient autre chose.
SuspiciousRelocSection
Ce PE masque un élément difficile à identifier dans la zone « relocations ». La zone « relocations » d'un fichier PE est généralement utilisée pour déplacer des symboles particuliers, mais ce fichier particulier contient autre chose.
SuspiciousDirectoryNames
Le fichier contient des noms de répertoire OLE associés à une malveillance.
SuspiciousDirectoryStructure
Le fichier signale des anomalies dans la structure de répertoire OLE.
SuspiciousEmbedding
Le fichier utilise une intégration suspecte d'OLE.
SuspiciousVBA
Le fichier contient un code VBA suspect.
SuspiciousVBALib
Le fichier indique une utilisation suspecte de la bibliothèque VBA.
SuspiciousVBANames
Le fichier contient des noms suspects associés aux structures VBA.
SuspiciousVBAVersion
Le fichier contient des versions VBA suspectes.
SWFOddity
Le fichier contient certaines utilisations suspectes du SWF intégré.
TooMalformedToProcess
Le fichier est incorrectement formé, à tel point qu'il est impossible à analyser dans son intégralité.
VersionAnomaly
Le fichier rencontre des problèmes avec la façon dont il présente ses informations de version. Les logiciels malveillants procèdent ainsi pour ne pas être détectés.

Collection

Ces indicateurs représentent les situations dans lesquelles le fichier contient des éléments qui indiquent des fonctions ou des preuves de collecte de données. Il peut s'agir de l'énumération de la configuration du système ou de la collecte d'informations sensibles spécifiques.
Indicateur
Description
BrowserInfoTheft
Le fichier contient la preuve d'une intention de lire les mots de passe stockés dans le cache du navigateur. Les logiciels malveillants utilisent cette fonctionnalité pour recueillir les mots de passe pour exfiltration.
CredentialProvider
Le fichier contient la preuve d'une interaction avec un fournisseur d'informations d'identification ou le souhait d'apparaitre comme tel. Les logiciels malveillants procèdent de cette manière lorsque les fournisseurs d'informations d'identification accèdent à de nombreux types de données sensibles, tels que les noms d'utilisateur et les mots de passe. Ce faisant, ils peuvent compromettre l'intégrité de l'authentification.
CurrentUserInfoImports
Le fichier importe des fonctions utilisées pour collecter les informations sur l'utilisateur actuellement connecté. Les logiciels malveillants déterminent des moyens d'action pour escalader les privilèges et mieux adapter les futures attaques.
DebugStringImports
Le fichier importe des fonctions utilisées pour générer les chaines de débogage. En général, cette fonction est désactivée dans les logiciels de production, mais reste activée dans les logiciels malveillants en cours de test.
DiskInfoImports
Le fichier importe des fonctions pouvant être utilisées pour collecter les détails des volumes sur le système. Les logiciels malveillants l'utilisent conjointement avec la liste pour déterminer des éléments sur les volumes en vue d'une nouvelle attaque.
EnumerateFileImports
Le fichier importe des fonctions utilisées pour répertorier les fichiers. Les logiciels malveillants l'utilisent pour rechercher des données sensibles ou d'autres points d'attaque.
EnumerateModuleImports
Le fichier importe des fonctions pouvant être utilisées pour dresser la liste de toutes les DLL qu'un processus en cours d'exécution utilise. Les programmes malveillants utilisent cette fonctionnalité pour localiser et cibler des bibliothèques spécifiques à charger dans un processus et pour mapper un processus qu'ils souhaitent injecter.
EnumerateNetwork
Le fichier démontre une capacité à tenter d'énumérer les réseaux et cartes réseau connectés. Les logiciels malveillants le font pour déterminer l'emplacement d'un système cible par rapport aux autres et pour rechercher d'éventuels chemins latéraux.
EnumerateProcessImports
Le fichier importe des fonctions pouvant être utilisées pour dresser la liste de tous les processus en cours d'exécution sur un système. Les logiciels malveillants l'utilisent pour localiser les processus dans lesquels injecter ou ceux qu'ils souhaitent supprimer.
EnumerateVolumeImports
Le fichier importe des fonctions pouvant être utilisées pour répertorier les volumes sur le système. Les logiciels malveillants l'utilisent pour trouver toutes les zones dont ils pourraient avoir besoin pour rechercher des données ou propager une infection.
GinaImports
Le fichier importe des fonctions utilisées pour accéder à Gina. Un logiciel malveillant l'utilise pour tenter de violer le système de saisie de mot de passe sécurisé Ctrl+Alt+Suppr ou d'autres fonctions de connexion au réseau.
HostnameSearchImports
Le fichier importe des fonctions utilisées pour collecter des informations relatives aux noms d'hôte sur le réseau et au nom d'hôte de la machine proprement dite. Le logiciel malveillant utilise cette fonctionnalité pour mieux cibler d'autres attaques ou rechercher de nouvelles cibles.
KeystrokeLogImports
Le fichier importe des fonctions pouvant capturer et consigner les frappes de touches à partir du clavier. Les logiciels malveillants tentent ici de capturer et d'enregistrer les frappes de touches afin de trouver des informations sensibles telles que les mots de passe.
OSInfoImports
Le fichier importe des fonctions utilisées pour collecter des informations sur le système d'exploitation actuel. Les logiciels malveillants utilisent cette fonctionnalité pour déterminer comment mieux adapter les attaques et transmettre des informations à un contrôleur.
PossibleKeylogger
Le fichier contient des preuves d'activité de type enregistreur de frappe. Les logiciels malveillants utilisent des enregistreurs de frappe pour recueillir des informations sensibles à partir du clavier.
PossiblePasswords
Le fichier inclut des mots de passe communs ou une structure permettant le forçage brut des mots de passe communs. Les logiciels malveillants tentent ici de pénétrer dans un réseau en accédant à d'autres ressources à l'aide de mots de passe.
ProcessorInfoWMI
Le fichier importe des fonctions pouvant être utilisées pour déterminer des informations détaillées sur le processeur. Les logiciels malveillants l'utilisent pour adapter les attaques et exfiltrer ces données vers une infrastructure de commande et de contrôle commune.
RDPUsage
Le fichier interagit avec le protocole RDP (Remote Desktop Protocol). Les logiciels malveillants l'utilisent pour se déplacer latéralement et offrir des fonctionnalités de commande et de contrôle directes.
SpyString
Le fichier exécute probablement un logiciel espion qui surveille le presse-papiers ou les actions de l'utilisateur lors de l'utilisation de l'API d'accessibilité.
SystemDirImports
Le fichier importe des fonctions servant à localiser le répertoire système. Les logiciels malveillants tentent ici de localiser un grand nombre de fichiers binaires système installés, car ils se cachent souvent parmi eux.
UserEnvInfoImports
Le fichier importe des fonctions servant à collecter des informations sur l'environnement de l'utilisateur actuellement connecté. Les logiciels malveillants tentent ici de déterminer les détails de l'utilisateur connecté et de rechercher d'autres informations pouvant être obtenues à partir des variables d'environnement.

Perte de données

Ces indicateurs représentent les situations dans lesquelles le fichier contient des éléments qui indiquent des fonctions ou des preuves d'exfiltration de données. Il peut s'agir de connexions réseau sortantes, de preuves d'agissement en tant que navigateur ou d'autres communications réseau.
Indicateur
Description
AbnormalNetworkActivity
Le fichier implémente une méthode de mise en réseau non standard. Les programmes malveillants tentent ici d'éviter la détection d'approches réseau plus courantes.
BrowserPluginString
Le fichier indique la capacité d'énumérer ou d'installer des plug-ins de navigateur.
ContainsBrowserString
Le fichier contient la preuve d'une tentative de création d'une chaine UserAgent personnalisée. Les logiciels malveillants utilisent fréquemment des chaines UserAgent courantes pour ne pas être détectés dans les requêtes sortantes.
DownloadFileImports
Le fichier importe des fonctions pouvant être utilisées pour télécharger des fichiers sur le système. Les logiciels malveillants l'utilisent pour déclencher une attaque et exfiltrer les données via l'URL sortante.
FirewallModifyImports
Le fichier importe des fonctions capables de modifier le pare-feu
Windows
local. Les logiciels malveillants l'utilisent pour ouvrir des brèches et éviter d'être détectés.
HTTPCustomHeaders
Le fichier contient des preuves de la création d'autres entêtes HTTP personnalisés. Les logiciels malveillants tentent ici de faciliter les interactions avec les infrastructures de commande et de contrôle et d'éviter toute détection.
IRCCommands
Le fichier contient des preuves d'interaction avec un serveur IRC. Les logiciels malveillants utilisent généralement IRC pour faciliter une infrastructure de commande et de contrôle.
MemoryExfiltrationImports
Le fichier importe des fonctions qui peuvent être utilisées pour lire la mémoire à partir d'un processus en cours d'exécution. Les logiciels malveillants l'utilisent pour déterminer les emplacements appropriés dans lesquels s'insérer ou pour extraire des informations utiles de la mémoire d'un processus en cours d'exécution, telles que des mots de passe, des données de carte de crédit ou d'autres informations sensibles.
NetworkOutboundImports
Le fichier importe des fonctions qui peuvent être utilisées pour envoyer des données hors du réseau ou d'Internet. Les logiciels malveillants l'utilisent pour exfiltrer des données ou comme méthode de commande et de contrôle.
PipeUsage
Le fichier importe des fonctions qui permettent la manipulation de canaux nommés. Les logiciels malveillants l'utilisent comme méthode de communication et d'exfiltration des données.
RPCUsage
Le fichier importe des fonctions qui lui permettent d'interagir avec une infrastructure RPC (Remote Procedure Call). Les logiciels malveillants l'utilisent pour diffuser ou envoyer des données à des systèmes distants à des fins d'exfiltration.

Tromperie

Ces indicateurs représentent les situations dans lesquelles le fichier contient des éléments qui indiquent des fonctions ou des preuves d'un fichier trompeur. La tromperie peut prendre la forme de sections masquées, d'inclusion de code pour éviter la détection ou d'indications qu'elle est mal étiquetée dans les métadonnées ou d'autres sections.
Indicateur
Description
AddedHeader
Le fichier contient un entête PE obscurci supplémentaire qui peut être une charge utile malveillante masquée.
AddedKernel32
Le fichier contient une référence obscurcie supplémentaire à kernel32.dll, une bibliothèque qui peut être utilisée par une charge utile malveillante.
AddedMscoree
Le fichier contient une référence obscurcie supplémentaire à mscoree.dll, une bibliothèque qui peut être utilisée par une charge utile malveillante.
AddedMsvbvm
Le fichier contient une référence obscurcie supplémentaire à msvbvm, une bibliothèque qui peut être utilisée par une charge utile malveillante compilée pour
Microsoft Visual Basic
6.
AntiVM
Le fichier présente des caractéristiques susceptibles de déterminer si le processus est en cours d'exécution sur une machine virtuelle. Les logiciels malveillants l'utilisent pour éviter de s'exécuter dans des bacs à sable virtualisés qui deviennent de plus en plus courants.
AutoitDownloadExecute
Le script AutoIt peut télécharger et exécuter des fichiers. Cette opération permet souvent de livrer des charges utiles malveillantes supplémentaires.
AutoitObfuscationStringConcat
Le script AutoIt est probablement obscurci par la concaténation de chaines. Cela permet souvent d'éviter la détection de commandes suspectes complètes.
AutoitShellcodeCalling
Le script AutoIt utilise la fonction d'API
Windows
CallWindowProc(), qui peut indiquer l'injection d'un shellcode.
AutoitUseResources
Le script AutoIt utilise des données provenant de ressources stockées avec le script. Les logiciels malveillants stockent souvent des parties importantes d'eux-mêmes sous forme de données de ressources, qu'ils décompactent lors de l'exécution, ce qui éveille la suspicion.
CabinentUsage
Le fichier inclut visiblement un fichier CAB. Les logiciels malveillants l'utilisent pour regrouper les composants sensibles de manière à ne pas être détectés.
ClearKernel32
Le fichier contient une référence à kernel32.dll, une bibliothèque qui peut être utilisée par une charge utile malveillante.
ClearMscoree
Le fichier contient une référence à mscoree.dll, une bibliothèque qui peut être utilisée par une charge utile malveillante.
ClearMsvbvm
Le fichier contient une référence à msvbvm.dll, une bibliothèque qui peut être utilisée par une charge utile malveillante compilée pour
Microsoft Visual Basic
6.
ComplexInvalidVersion
Le fichier déclare la version PDF incorrecte.
ComplexJsStenographySuspected
Le fichier peut contenir du code
JavaScript
masqué dans des chaines littérales.
ContainsEmbeddedDocument
Le fichier contient un document incorporé dans l'objet. Les logiciels malveillants peuvent l'utiliser pour propager une attaque à plusieurs sources ou pour dissimuler sa véritable forme.
CryptoKeys
Le fichier contient des preuves de la présence d'une clé cryptographique intégrée. Le logiciel malveillant procède ainsi pour éviter toute détection ou peut-être pour fournir une authentification avec des services à distance.
DebugCheckImports
Le fichier importe des fonctions qui lui permettent d'agir comme un débogueur. Les logiciels malveillants utilisent cette fonctionnalité pour lire et écrire à partir d'autres processus.
EmbeddedPE
Le PE en contient d'autres PE, ce qui est généralement le cas uniquement avec les programmes d'installation de logiciels. Les logiciels malveillants intègrent souvent un fichier PE qu'ils déposent sur le disque, puis exécutent. Cette technique est souvent utilisée pour éviter les scanneurs de protection en regroupant les fichiers binaires dans un format que la technologie de numérisation sous-jacente ne comprend pas.
EncodedDosStub1
Le fichier PE contient un élément de remplacement DOS PE obscurci qui peut appartenir à une charge utile malveillante masquée.
EncodedDosStub2
Le fichier PE contient un élément de remplacement DOS PE obscurci qui peut appartenir à une charge utile malveillante masquée.
EncodedPE
Le fichier PE contient des PE supplémentaires, ce qui est extrêmement suspect. Cet indicateur est similaire à l'indicateur EmbeddedPE, mais utilise un schéma de codage pour tenter de masquer davantage le code binaire à l'intérieur de l'objet.
ExecuteDLL
Le fichier PE contient une fonctionnalité permettant d'exécuter une DLL à l'aide de méthodes courantes. Les programmes malveillants utilisent cette méthode pour éviter les pratiques de détection courantes.
FakeMicrosoft
Le fichier PE prétend être écrit par
Microsoft
, mais il ne ressemble pas à un fichier PE
Microsoft
. Les logiciels malveillants se font généralement passer pour des fichiers PE
Microsoft
pour passer inaperçus.
HiddenMachO
Le fichier contient un autre fichier exécutable MachO, qui n'est pas correctement déclaré. Il peut s'agir d'une tentative visant à éviter que la charge utile ne soit facilement détectée.
HTTPCustomUserAgent
Le fichier contient des preuves de manipulation de la chaine UserAgent du navigateur. Les logiciels malveillants tentent ici de faciliter les interactions avec les infrastructures de commande et de contrôle et d'éviter toute détection.
InjectProcessImports
Le fichier PE peut injecter du code dans d'autres processus. Cette fonctionnalité implique souvent qu'un processus tente d'être trompeur ou hostile d'une manière ou d'une autre.
InvisibleEXE
Le fichier PE semble s'exécuter de manière invisible, mais il ne s'agit pas d'un service en arrière-plan. Il peut être conçu pour rester caché.
JSTokensSuspicious
Le fichier contient un
JavaScript
inhabituellement suspect.
MSCertStore
Le fichier présente des signes d'interaction avec le magasin de certificats
Windows
principal. Les logiciels malveillants procèdent ainsi pour recueillir des informations d'identification et insérer des clés indésirables dans le flux, afin de faciliter des attaques par interception.
MSCryptoImports
Le fichier importe des fonctions pour utiliser la bibliothèque de cryptographie
Windows
de base. Les logiciels malveillants utilisent cette fonctionnalité pour exploiter la cryptographie installée en local et ne pas avoir à utiliser la leur.
PDFParserDotDotSlash1URICount
Le fichier peut effectuer une tentative Path Traversal à l'aide de chemins relatifs tels que « ../ ».
PDFParserJavaScriptMagicseval~28
Le fichier peut contenir un
JavaScript
obscurci ou exécuter un
JavaScript
chargé de manière dynamique avec eval().
PDFParserJavaScriptMagic
sunescape~28
Le fichier peut contenir un
JavaScript
obscurci.
PDFParserjsObjectsLength
Le fichier contient un nombre anormalement élevé de scripts
JavaScript
individuels.
PDFParserJSStreamCount
Le fichier contient un nombre anormalement élevé de flux liés à
JavaScript
.
PDFParserJSTokenCounts0
cumulativesum
Le fichier contient un nombre anormalement élevé de jetons
JavaScript
.
PDFParserJSTokenCounts1
cumulativesum
Le fichier contient un nombre anormalement élevé de jetons
JavaScript
.
PDFParserNamesAllNames
Suspicious
Le fichier contient un nombre anormalement élevé de noms suspects.
PDFParserNamesObfuscated
NamesSuspicious
Le fichier contient un nombre anormalement élevé de noms obscurcis.
PDFParserPEDetections
Le fichier contient un ou plusieurs fichiers PE intégrés.
PDFParserSwfObjectsxObservationsx
SWFObjectsversion
Le fichier contient un objet SWF avec un numéro de version inhabituel.
PDFParserSwfObjectsxObservation
sxSWFObjectsxZLibcmfSWFObjectsx
ZLibcmf
Le fichier contient un objet SWF avec des paramètres de compression inhabituels.
PDFParserswfObjectsxObservations
xSWFObjectsxZLibflg
Le fichier contient un objet SWF avec des paramètres d'indicateur de compression inhabituels.
PE_ClearDosStub1
Le fichier contient un élément de remplacement DOS, ce qui indique l'inclusion du fichier PE.
PE_ClearDosStub2
Le fichier contient un élément de remplacement DOS, ce qui indique l'inclusion du fichier PE.
PE_ClearHeader
Le fichier contient des données d'entête de fichier PE qui n'appartiennent pas à la structure du fichier.
PEinAppendedSpace
Le fichier contient un fichier PE qui n'appartient pas à la structure du fichier.
PEinFreeSpace
Le fichier contient un fichier PE qui n'appartient pas à la structure du fichier.
ProtectionExamination
Le fichier semble rechercher des systèmes de protection communs. Le programme malveillant procède ainsi pour lancer une action antiprotection adaptée à celle installée sur le système.
SegmentSuspiciousName
Un segment contient une chaine non valide, notamment un nom ou un nom non standard inhabituel. Cela peut indiquer une altération postcompilation ou l'utilisation de conditionneurs ou d'obscurcisseurs de code.
SegmentSuspiciousSize
La taille du segment est sensiblement différente de celle de l'ensemble des sections du contenu. Cela peut être le signe de l'utilisation d'une zone non référencée ou de la réservation d'espace pour la décompression du code malveillant pendant l'exécution.
SelfExtraction
Le fichier semble être une archive à extraction automatique. Les logiciels malveillants utilisent souvent cette tactique pour brouiller leurs véritables intentions.
ServiceDLL
Le fichier semble être une DLL de service. Les DLL de service sont chargées dans les processus svchost.exe et constituent une méthodologie de persistance courante pour les logiciels malveillants.
StringJsSplitting
Le fichier contient des jetons JS suspects.
SWFinAppendedSpace
Le fichier contient un objet flash Shockwave qui n'appartient pas à la structure du document.
TempFileImports
Le fichier importe des fonctions utilisées pour accéder aux fichiers temporaires et les manipuler. Les logiciels malveillants procèdent ainsi, car les fichiers temporaires ont tendance à éviter la détection.
UsesCompression
Certaines parties du code du fichier semblent être compressées. Les logiciels malveillants utilisent ces techniques pour éviter la détection.
VirtualProtectImports
Le fichier importe des fonctions servant à modifier la mémoire d'un processus en cours d'exécution. Les logiciels malveillants procèdent ainsi pour s'injecter dans les processus en cours d'exécution.
XoredHeader
Le fichier contient un entête PE obscurci xor qui peut être une charge utile malveillante masquée.
XoredKernel32
Le fichier contient une référence obscurcie xor à kernel32.dll, une bibliothèque qui peut être utilisée par une charge utile malveillante.
XoredMscoree
Le fichier contient une référence obscurcie xor à mscoree.dll, une bibliothèque qui peut être utilisée par une charge utile malveillante.
XoredMsvbvm
Le fichier contient une référence obscurcie xor à msvbvm, une bibliothèque qui peut être utilisée par une charge utile malveillante compilée pour
Microsoft Visual Basic
6.

Destruction

Ces indicateurs représentent les situations dans lesquelles le fichier contient des éléments qui indiquent des fonctions ou des preuves de destruction. Les fonctionnalités destructrices incluent la possibilité de supprimer des ressources système telles que des fichiers ou des répertoires.
Indicateur
Description
action_writeByte
Le script VBA dans le document écrit probablement des octets dans un fichier. Cette action est inhabituelle pour un document légitime.
action_hexToBin
Le script VBA du fichier utilise probablement une conversion hexadécimale en binaire, ce qui peut indiquer le décodage d'une charge utile malveillante masquée.
appended_URI
Le fichier contient un lien qui n'appartient pas à la structure du fichier.
appended_exploit
Le fichier contient des données suspectes en dehors de la structure du fichier, ce qui peut révéler la présence d'une faille.
appended_macro
Le fichier contient un script de macro qui n'appartient pas à la structure du fichier.
appended_90_nopsled
Le fichier contient un nop-sled qui n'appartient pas à la structure du fichier, ce qui sert vraisemblablement à faciliter l'exploitation d'une faille.
AutorunsPersistence
Le fichier tente d'interagir avec les méthodes courantes de persistance (par exemple, les scripts de démarrage). Les logiciels malveillants utilisent généralement ces tactiques pour parvenir à la persistance.
DestructionString
Le fichier dispose de fonctionnalités permettant d'interrompre des processus ou d'arrêter la machine par l'intermédiaire de commandes shell.
FileDirDeleteImports
Le fichier PE importe des fonctions qui peuvent servir à supprimer des fichiers ou des répertoires. Les programmes malveillants utilisent cette méthode pour arrêter les systèmes et brouiller les pistes.
JsHeapSpray
Le fichier contient probablement un code HeapSpray.
PossibleLocker
Le fichier démontre la volonté de verrouiller les outils courants par stratégie. Les logiciels malveillants procèdent ainsi pour conserver la persistance et rendre la détection et le nettoyage plus difficiles.
RegistryManipulation
Le fichier importe des fonctions utilisées pour manipuler le registre
Windows
. Les logiciels malveillants procèdent ainsi pour parvenir à la persistance et éviter la détection, entre autres nombreuses raisons.
SeBackupPrivilege
Le fichier PE peut tenter de lire les fichiers auxquels il n'a pas accès. Le privilège SeBackup permet d'accéder aux fichiers sans respecter les contrôles d'accès. Il est fréquemment utilisé par les programmes qui gèrent les sauvegardes et se limite souvent aux administrateurs, mais peut être utilisé de manière malveillante pour accéder à des éléments spécifiques habituellement difficiles d'accès.
SeDebugPrivilege
Le fichier PE peut tenter d'altérer les processus système. Le privilège SeDebug permet d'accéder à des processus autres que les vôtres et se limite souvent aux administrateurs. Il est souvent associé à la lecture et à l'écriture dans d'autres processus.
SeRestorePrivilege
Le fichier PE peut tenter de modifier ou de supprimer les fichiers auxquels il n'a pas accès. Le privilège SeRestore permet l'écriture sans tenir compte du contrôle d'accès.
ServiceControlImports
Le fichier importe des fonctions pouvant contrôler les services
Windows
sur le système actuel. Un programme malveillant utilise cette fonctionnalité soit pour s'exécuter en arrière-plan (en s'installant en tant que service) soit pour désactiver d'autres services censés protéger le système.
SkylinedHeapSpray
Le fichier contient une version non modifiée du code HeapSpray de Skylined.
SpawnProcessImports
Le fichier PE importe des fonctions pouvant être utilisées pour générer un autre processus. Les programmes malveillants utilisent cette fonctionnalité pour lancer les phases suivantes d'une infection, généralement téléchargées sur Internet.
StringJsExploit
Le fichier contient du code
JavaScript
capable de lancer des exploits.
StringJsObfuscation
Le fichier contient des jetons d'obfuscation
JavaScript
.
TerminateProcessImports
Le fichier importe des fonctions pouvant être utilisées pour arrêter un processus en cours d'exécution. Les programmes malveillants utilisent cette fonctionnalité pour tenter de supprimer des systèmes de protection ou pour endommager un système en cours d'exécution.
trigger_AutoClose
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de la fermeture du fichier.
trigger_Auto_Close
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de la fermeture du fichier.
trigger_AutoExec
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement.
trigger_AutoExit
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de la fermeture du document.
trigger_AutoNew
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de la création d'un document.
trigger_AutoOpen
Le script VBA dans le fichier est susceptible de s'exécuter dès l'ouverture du fichier.
trigger_Auto_Open
Le script VBA dans le fichier est susceptible de s'exécuter dès l'ouverture du fichier.
trigger_DocumentBeforeClose
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement juste avant la fermeture du fichier.
trigger_DocumentChange
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de la modification du fichier.
trigger_Document_Close
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de la fermeture du fichier.
trigger_Document_New
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de la création d'un fichier.
trigger_DocumentOpen
Le script VBA dans le fichier est susceptible de s'exécuter dès l'ouverture du fichier.
trigger_Document_Open
Le script VBA dans le fichier est susceptible de s'exécuter dès l'ouverture du fichier.
trigger_NewDocument
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de la création d'un fichier.
trigger_Workbook_Close
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de la fermeture d'une feuille de calcul
Microsoft Excel
.
trigger_Workbook_Open
Le script VBA dans le fichier est susceptible de s'exécuter automatiquement lors de l'ouverture d'une feuille de calcul
Microsoft Excel
.
UserManagementImports
Le fichier importe des fonctions pouvant être utilisées pour changer d'utilisateur sur le système local. Il peut ajouter, supprimer ou modifier des informations clés sur l'utilisateur. Les logiciels malveillants peuvent utiliser cette fonctionnalité pour assurer la persistance ou nuire au système local.
VirtualAllocImports
Le fichier importe des fonctions utilisées pour créer une mémoire dans un processus en cours d'exécution. Les logiciels malveillants procèdent ainsi pour s'injecter dans le processus en cours d'exécution.

Shellcodes

Ces indicateurs représentent les situations où un petit élément de code est utilisé comme charge utile dans l'exploitation d'une vulnérabilité logicielle. Cet élément est appelé « shellcode », car il démarre généralement un shell de commande à partir duquel l'utilisateur malveillant peut contrôler la machine compromise, bien que tout code qui effectue une tâche similaire puisse être appelé shellcode.
Indicateur
Description
ApiHashing
Le fichier contient une séquence d'octets ressemblant à un shellcode qui tente de détecter furtivement les API de bibliothèque chargées dans la mémoire.
BlackholeV2
Le fichier semble provenir du kit d'exploitation Blackhole.
ComplexGotoEmbed
Le fichier peut forcer un navigateur à accéder à une adresse ou à exécuter une action.
ComplexSuspiciousHeader
Location
L'entête PDF est situé à un décalage différent de zéro, ce qui peut indiquer une tentative d'empêcher le fichier d'être reconnu comme un document PDF.
EmbeddedTiff
Le fichier peut contenir une image TIFF créée avec nop-sled pour faciliter l'exploitation d'une faille.
EmbeddedXDP
Le fichier contient probablement un autre PDF en tant que fichier XDP (XML Data Package).
FindKernel32Base1
Le fichier contient une séquence d'octets ressemblant à un shellcode qui tente de localiser kernel32.dll dans la mémoire.
FindKernel32Base2
Le fichier contient une séquence d'octets ressemblant à un shellcode qui tente de localiser kernel32.dll dans la mémoire.
FindKernel32Base3
Le fichier contient une séquence d'octets ressemblant à un shellcode qui tente de localiser kernel32.dll dans la mémoire.
FunctionPrologSig
Le fichier contient une séquence d'octets qui est une fonction prolog classique susceptible de contenir un shellcode.
GetEIP1
Le fichier contient une séquence d'octets s'apparentant à un shellcode qui résout sa propre adresse pour localiser d'autres éléments en mémoire et faciliter l'exploitation.
GetEIP4
Le fichier contient une séquence d'octets s'apparentant à un shellcode qui résout sa propre adresse pour localiser d'autres éléments en mémoire et faciliter l'exploitation.
IndirectFnCall1
Le fichier contient une séquence d'octets qui s'apparente à un appel de fonction indirect, probablement un shellcode.
IndirectFnCall2
Le fichier contient une séquence d'octets qui s'apparente à un appel de fonction indirect, probablement un shellcode.
IndirectFnCall3
Le fichier contient une séquence d'octets qui s'apparente à un appel de fonction indirect, probablement un shellcode.
SehSig
Le fichier contient une séquence d'octets classique d'une gestion structurée des exceptions, qui contient probablement un shellcode.
StringLaunchAction
Browser
Le fichier peut forcer un navigateur à accéder à une adresse ou à exécuter une action.
StringLaunchActionShell
Le fichier peut exécuter des actions de shell.
StringSingExploit
Le fichier peut contenir une exploitation.

Indicateurs divers

Cette section répertorie les indicateurs qui ne correspondent pas aux autres catégories.
Indicateur
Description
AutoitFileOperations
Le script AutoIt peut exécuter plusieurs actions sur les fichiers. Il peut être utilisé pour la collecte, la persistance ou la destruction d'informations.
AutorunString
Le fichier a la capacité d'obtenir une persistance à l'aide d'un ou de plusieurs mécanismes d'exécution automatique.
CodepageLookupImports
Le fichier importe des fonctions utilisées pour rechercher la page de codes (emplacement) d'un système en cours d'exécution. Les programmes malveillants utilisent cette fonctionnalité pour différencier le pays/la région où un système est exécuté afin de mieux cibler des groupes particuliers.
MutexImports
Le fichier importe des fonctions pour créer et manipuler des objets mutex. Les logiciels malveillants utilisent fréquemment des objets mutex pour éviter d'infecter un système à plusieurs reprises.
OpenSSL
statique
Le fichier contient une version d'
OpenSSL
compilée de telle manière qu'elle semble furtive. Les logiciels malveillants procèdent ainsi pour inclure la fonctionnalité de cryptographie sans paraitre suspects.
PListString
Le fichier a la capacité d'interagir avec les listes de propriétés utilisées par le système d'exploitation. Il peut donc obtenir une persistance ou compromettre divers processus.
PrivEscalationCryptBase
Le fichier tente d'utiliser une escalade de privilèges à l'aide de CryptBase. Les programmes malveillants procèdent ainsi pour obtenir plus de privilèges sur le système affecté.
ShellCommandString
Le fichier a la capacité d'utiliser des commandes shell sensibles à des fins de reconnaissance, d'élévation de privilèges ou de destruction de données.
SystemCallSuspicious
Le fichier a la capacité de surveiller et/ou de contrôler le système et d'autres processus, et d'effectuer des actions de type débogage.