2. Nouvelle Fonctionnalités

2.1. Ajout d’un moteur d’analyse : GDGADetect

Le moteur d’analyses GDGADetect analyse les noms de domaine pour détecter des domaines générés par un Domain Generation Algorithm.

GDGADetect peut être ajouté à un template d’analyse. Ce moteur d’analyse est également présent sur la page d’accueil permettant un résultat immédiat.

2.2. Soumission d’un fichier

La taille du fichier maximum à soumettre est désormais de 50mo.

Il est possible de renseigner le mot de passe d’une archive pour analyse. Les fichiers de type archive ont un traitement particulier (cf : Cas particuliers : la gestion des archives).

Si la soumission d’un fichier pour analyse a réussie, un message présentant un lien de redirection HTML vers le rapport apparait.

2.3. Configuration : SSL Settings

Il est possible de configurer le certificat TLS (Transport Layer Security) de la GBox via la WebUI de celle-ci(cf : SSL Settings).

2.4. Status des moteurs d’analyses

Les états des différents moteurs d’analyses sont disponibles directement dans la liste des moteurs. Différents badges indiquent l’état du moteur (up/down), sa capacité à effectuer des analyses (ready / not ready), et le nombre de tâches en cours de traitement par ce moteur.

2.5. GUM - Hotfix cumulatif

Les différentes corrections à chaud mises à disposition pourront être appliquées via un package unique.

2.6. Amélioration de l’auto-rafraîchissement

Les fonctionnalités de l’automatisation du rafraîchissement des données ont été améliorées :

  • Le tableau des dernières analyses, l’option « Auto refresh » est disponible. Elle est activée par défaut.

  • Le rapport d’analyse disponible au format HTML se met à jour toute les deux secondes.

2.7. Nouvelles fonctionnalité dans GNEST

L’analyzer GNEST permet de récupérer une copie du contenu de la mémoire virtuelle. L’option est désactivée par défaut.

Le téléchargement de ce nouvel artefact est disponible via le rapport d’analyse au format HTML.

La visualisation d’un arbre des processus pour mieux cerner l’ordre d’exécution du potentiel malware est possible dans les rapports d’analyses.

AJOUT FLARE_CAPA et CONF_MALWARE ?

Il est possible de suivre, via un tableau, la progression des dernières actions de création et/ou de suppression de machines virtuelles liée à GNEST.

Les informations disponibles sont :

  • La date de soumission de la requête au format JJ/MM/YYY HH:MM.

  • L’action demandée (ajout ou suppression).

  • La progression de la tâche en pourcentage.

  • Le status de la tâche sous format texte.

  • La date de fin de tâche au format JJ/MM/YYY HH:MM.

Le choix de rendre visible ou non ce tableau est possible avec l’option show / hide disponible via la WebUI.

La suppression multiple des machines virtuelles liées à GNEST est intégrée et opérationnelle.

2.8. Liste des rapports d’analyse

Une recherche avancée est proposée en sélectionnant l’option Hide advanced search fields. Elle permet de chercher par :

  • Règles YARA (Yara rule).

  • Signature (Signature).

  • Tactiques, Techniques et procédures (TTPs).

  • Comportement des logiciels malveillants (Malware behaviour catalog).

  • Famille de malware (Malware family).

  • Hash de fichier (File hashes).

  • Réseau(Network).

Une recherche dynamique sur chaque colonne du tableau a été mise en place.

L’option Hide analysis without threat score est disponible via la WebUI de la GBox permettant de rendre visible les analyses sans threat score.

Il est possible simplement de mettre le hash d’un fichier présent dans le tableau dans le presse papier.

2.9. Template

L’édition du titre d’un template est désormais possible via la WebUI de la GBox et se modifie de manière automatique dans les rapports d’analyses déjà traités par celui-ci.

L’option de template par défaut est désormais possible directement sur celui-ci via l’option set as default.

2.10. Rapport d’analyse

Une réorganisation du rapport sous forme de section a été effectuée. Cela permet une meilleure compréhension et recherche d’information lors de sa lecture.

L’ajout de la section Template Options regroupe les informations du template utilisé tel que le nom du(des) moteur(s) d’analyse(s) et ces options.

Il est possible de rejouer une analyse via le rapport au format HTML. Une sélection de vos templates vous est proposée via une liste déroulante.

2.11. Artefacts : suppression manuelle

Il est possible de supprimer les artefacts d’analyse depuis l’api ou depuis le rapport au format HTML.

2.12. Nouvelle interface de programmation d’application

Une nouvelle API (application programming interface ou interface de programmation d’application) a été mise en place. Elle permet une meilleure automatisation des tâches.

Une documentation complète des endpoints est directement disponible via l’icône API accesible en administrator.

Une documentation sur l’utilisation de l’API est disponible en ligne en cliquant ici.

Deux authentifications auprès de l’API sont possibles :

  • En utilisant d’un couple login / mot de passe : fournit via un endpoint de celle-ci.

  • En utilisant un token d’api.