Open Source & Outils

Azul : Industrialiser l’analyse de malware à grande échelle

by  • 

Publication open-source de l’Australian Signals Directorate (ASD)

Executive Summary

L’Australian Signals Directorate (ASD) a publié Azul, une plateforme open-source d’analyse de malware conçue pour les environnements à fort volume : CERT nationaux, agences gouvernementales, SOC étendus et équipes de reverse engineering.

Azul combine :

  • Un repository structuré capable de stocker des dizaines de millions d’échantillons
  • Un moteur analytique automatisé dérivé de workflows de reverse engineering
  • Un système de clustering basé sur Opensearch pour corréler familles de malware et infrastructures C2

La plateforme n’est pas un moteur de détection. Les échantillons doivent être qualifiés en amont via des outils de binary triage, threat hunting, incident response ou honeypots.

Azul vise à transformer l’expertise humaine en infrastructure analytique persistante.

1. Positionnement stratégique

L’analyse manuelle de malware reste coûteuse :

  • Plusieurs heures pour extraire des IOCs de base
  • Plusieurs jours pour comprendre les capacités fonctionnelles
  • Plusieurs mois pour cartographier une malware family

Azul répond à cette contrainte en automatisant les tâches répétitives issues du reverse engineering.

L’objectif n’est pas de remplacer l’analyste, mais d’industrialiser les étapes mécaniques et répétables.

2. Architecture fonctionnelle

2.1 Malware Repository

Azul repose sur un stockage compatible S3, conçu pour une conservation à long terme.

Fonctionnalités :

  • Stockage de dizaines de millions d’échantillons
  • Métadonnées configurables :
    • hostname
    • filename
    • informations réseau
    • timestamps
    • contexte d’acquisition
  • Traçabilité de l’origine des artefacts

Le repository permet une analyse longitudinale sur plusieurs années.

2.2 Moteur analytique automatisé

Une fois un échantillon ingéré, Azul permet l’exécution automatisée de plugins dérivés de travaux de reverse engineering.

Ces plugins peuvent :

  • Extraire des IOCs
  • Identifier des patterns binaires
  • Extraire des configurations embarquées
  • Réaliser du file carving
  • Décompresser des archives
  • Parser des formats Microsoft Office
  • Appliquer des règles YARA
  • Exécuter des signatures Snort

L’innovation majeure réside dans la capacité de rejouer des plugins sur des artefacts historiques.

Lorsqu’un nouveau décodeur de configuration ou un nouvel extractor est développé, il peut être appliqué rétroactivement à l’ensemble du corpus.

Cela permet un enrichissement rétrospectif des incidents passés.

3. Automatisation du reverse engineering

Workflow traditionnel :

  1. Analyse statique initiale
  2. Inspection des headers PE
  3. Analyse de l’import table
  4. Extraction des strings
  5. Décodage de configuration
  6. Identification des IOCs réseau
  7. Développement de règles YARA
  8. Corrélation d’infrastructure

Azul transforme ces étapes répétables en plugins persistants.

L’expertise produite par un analyste devient un module réutilisable à grande échelle.

4. Clustering et corrélation

Azul exploite les capacités d’Opensearch pour identifier :

  • Similarités binaires
  • Fragments de code partagés
  • Reuse d’infrastructure C2
  • Patterns de développement
  • Schémas de configuration similaires
  • Réutilisation de certificats TLS

Le clustering permet :

  • La consolidation de malware families
  • La détection de variants
  • La cartographie d’écosystèmes d’attaquants
  • L’identification de builders communs

Ce mécanisme est particulièrement pertinent pour les campagnes long-terme.

5. Scalabilité et persistance

Azul est conçu comme une plateforme de type malware intelligence data lake :

  • Stockage massif
  • Scalabilité horizontale
  • Conservation illimitée
  • Réindexation possible

La persistance des artefacts permet une profondeur temporelle dans l’analyse CTI.

6. Limites opérationnelles

Azul :

  • Ne détermine pas si un fichier est malveillant
  • Ne remplace pas un antivirus
  • Ne remplace pas une sandbox dynamique

Il intervient après la phase de triage initiale.

Cette séparation architecturale renforce la spécialisation de la plateforme.

7. Implications pour un CERT national ou d’entreprise

Pour une organisation à large périmètre :

  • L’expertise reverse engineering devient cumulative
  • Les workflows analytiques sont standardisés
  • Les corrélations inter-incidents sont facilitées
  • L’analyse historique devient systématique

Azul transforme l’analyse de malware d’une activité ponctuelle vers une infrastructure de renseignement durable.

Ma conclusion technique

Azul matérialise une évolution vers l’industrialisation du reverse engineering à l’échelle institutionnelle.

En combinant :

  • Stockage massif
  • Automatisation analytique
  • Clustering avancé
  • Rejeu rétroactif des analyses

la plateforme s’inscrit dans une logique d’élévation structurelle des capacités CTI.

Elle ne remplace pas l’expertise humaine.
Elle la capitalise et la projette à grande échelle.

Références

Australian Signals Directorate – Azul
https://www.cyber.gov.au/about-us/view-all-content/news/explore-analyse-and-correlate-malware-at-scale-with-azul

ASD ACSC GitHub
https://github.com/AustralianCyberSecurityCentre