Les ransomwares ont suscité beaucoup d'enthousiasme ces derniers temps, et à juste titre. Sa prévalence a augmenté de 59% en 2017 et les chiffres du quatrième trimestre montrent qu'elle ne ralentit pas. C'est effrayant - perdre des données signifie perdre de l'argent, des affaires, de la propriété intellectuelle et des clients. Encore plus alarmant, les pirates informatiques qui rançonnent ciblent la vie publique - systèmes municipaux, écoles, hôpitaux et autres cibles vulnérables à haut risque. La plupart d'entre nous trouvons plus facile de comprendre les ransomwares et ce qui motive les attaquants - cela en fait une meilleure histoire que des scripts shell néfastes et des exploits de protocole à distance.

Cependant, les ransomwares et autres formes de programmes malveillants vont bien au-delà de simples exploits pour gagner de l'argent. Ils renforcent et, parfois, fournissent une couverture gênante pour les menaces persistantes avancées (APT). Ces attaques multiples et prolongées sont perpétrées par des criminels et des pirates informatiques sponsorisés par l’État, à des fins d’espionnage, de vol de données personnelles et de données d'identité, de vol de propriété intellectuelle, de fraude, de perturbation généralisée, ou une combinaison des deux. Les attaques de type APT augmentent à un rythme exponentiel. Une vaste industrie des produits de cybersécurité, qui va bien au-delà des solutions anti-virus et de pare-feu de la première génération, a vu le jour pour lutter contre ces nouvelles menaces aux différentes étapes du cycle de vie de l'exploitation..

Bien que les APT puissent varier considérablement les uns des autres, il existe un dénominateur commun qui est au cœur de toute attaque réussie: la capacité d'infiltrer un réseau, de rester inaperçu et d'exécuter des actions malveillantes. Les défenses traditionnelles, même les plus avancées telles que le sandboxing, reposent toutes sur l'hypothèse que les techniques avancées seront capables de détecter une "intention malveillante" et de la séparer de la "bonne intention"..

Ce jeu du chat et de la souris est la dynamique essentielle qui façonne actuellement le secteur de la sécurité. Mais trop souvent, les attaquants l’emportent, car ils ont réussi à faire évoluer leurs techniques afin de contourner la détection heuristique. Par nature, les technologies de défense traditionnelles affichent un taux élevé de mauvaise détection et de fausses alarmes, occultant les vulnérabilités et créant de nouveaux problèmes pour les équipes de sécurité à pleine capacité.

Pour inverser cette dynamique frustrante et coûteuse, nous devons identifier un “maillon le plus faible” commun à la plupart des cyberattaques pouvant donner l'avantage aux défenseurs.

Terrain d'entente

Pour établir une tête de pont, les attaquants ont besoin d’un moyen d’installer un «morceau» de code exécutable sur une machine du réseau cible. Ils utiliseront un certain nombre de méthodes pour qu'un utilisateur légitime puisse accéder à un contenu malveillant (hameçonnage) et l'activer. Pour éviter la détection, le code exécutable (ou "shellcode") est masqué dans les objets de données (documents bureautiques) et exécuté en exploitant les vulnérabilités des applications courantes..

L'impact de ces infiltrations a été ahurissant et continue de se propager. Selon Cybersecurity Ventures, les coûts mondiaux des dommages causés par la cybercriminalité atteindront 6 000 milliards de dollars d’ici 2021. Les dépenses consacrées aux produits et services de cybersécurité s’élèveront à plus de 1 billion de dollars au cours des trois prochaines années. Entre temps, des millions d’emplois en cybersécurité restent vacants en raison de la pénurie de main-d’œuvre qualifiée et de l’insuffisance des filières d’éducation.

Il s'agit de prévention, pas de remédiation

Les APT continuent à utiliser un itinéraire familier pour parvenir à une exploitation. Selon M-Trends de Mandiant, les détails du cycle de vie de l'exploitation peuvent être résumés comme suit:

  • Étape 1: Reconnaissance
  • Étape 2: Intrusion initiale dans le réseau
  • Étape 3: Établir une porte dérobée sur le réseau
  • Étape 4: Obtenir les informations d'identification de l'utilisateur
  • Étape 5: Installez divers utilitaires
  • Étape 6: Escalade de privilèges / Mouvement latéral / Exfiltration de données
  • Étape 7: Maintenir la persistance

L'étape 2 - l'intrusion initiale - reste l'étape cruciale pour les opérateurs APT. S'implanter dans l'environnement cible est l'objectif principal de l'intrusion initiale. Une fois qu'un réseau est exploité, l'attaquant place généralement des logiciels malveillants sur le système compromis et les utilise comme point de départ ou proxy pour d'autres actions. Les logiciels malveillants placés au cours de la phase initiale d’intrusion sont généralement un simple téléchargeur, un cheval de Troie de base avec accès à distance ou un simple shell. Le problème est que peu d’outils de cybersécurité peuvent détecter un shellcode à l’aide d’empaqueteurs dynamiques pour lesquels aucune signature ou motif connu n’est disponible..

Il est clair que la prévention d'une intrusion précoce - avant que des mesures d'assainissement coûteuses ne soient nécessaires - est la meilleure (et la moins chère) pratique pour lutter contre les APT. Dans 60% des cas, les pirates peuvent compromettre une organisation en quelques minutes, mais il faut environ 197 jours à la plupart des entreprises pour détecter une faille sur leur réseau, ce qui entraîne une explosion des coûts de réparation..

Détecter l'évasif

Malgré des avancées et des investissements considérables dans la sécurité, les attaquants possèdent toujours l'avantage, en particulier dans les attaques de type «jour zéro». Les logiciels de cybersécurité traditionnels sont souvent contre-productifs car une fois qu’ils identifient un contenu malveillant, ils procèdent à l’analyse in situ, exposant ainsi l’environnement qu’il est censé contaminer et compromettre. Pour garder une longueur d'avance sur la prévention, vous avez besoin d'une architecture de protection de sécurité élégante et à l'épreuve de l'évasion..

Une architecture anti-évasion recherche systématiquement les instructions de code cachées - ou toute autre commande pouvant indiquer une intention malveillante - et n'ouvrira ni n'exécutera les fichiers entrants. En examinant le code et l'exploit qu'il contient, aucun appareil ne sera mis en service et la plate-forme pourra détecter tout code suspect, le mettre en quarantaine et le réviser ultérieurement. En fin de compte, le code malveillant ne parvient pas à échapper à la détection, car il ne peut jamais s'exécuter et se propager sur le réseau..

De la même manière, l'approche à l'abri de l'évasion nécessite d'analyser et d'interpréter les scripts, d'évaluer chaque déclaration, ligne par ligne. Tous les flux possibles d’exécution, y compris les branches conditionnelles, doivent être exposés et normalisés..

En ce qui concerne les URL malveillantes, cette méthode détecte et différencie avec précision les hyperliens et les objets distants invoqués automatiquement, fournissant des informations sur le but de chaque objet distant et son comportement. L'analyse anti-fraude détermine le type d'incorporation utilisé - sans avoir à récupérer le fichier ou l'objet distant distant - afin de déterminer son niveau de malveillance en temps réel et de bloquer même les logiciels malveillants les plus évasifs..

L'évaluation des scores heuristiques, des anomalies comportementales, des faux positifs et des faux négatifs devient rapidement un fardeau ingérable pour les équipes de sécurité déjà épuisées. Et au moment où l'analyse est terminée, le malware aurait pu se retrouver dans votre réseau. En ne s'appuyant pas sur les variations de pile technologiques sous-jacentes ou en exigeant un environnement soigneusement organisé pour l'analyse de l'exécution, une architecture anti-évasion peut être plus efficace pour arrêter les attaquants d'aujourd'hui - et pour se protéger contre de nouvelles formes d'attaques qui seront certainement déployées à l'avenir..

Boris Vaynberg, PDG et cofondateur de Solebit

  • Nous avons également mis en évidence le meilleur antivirus