F-Secure DeepGuard : Protection proactive contre les menaces émergentes
 

F-Secure DeepGuard : Protection proactive contre les menaces émergentes

on

  • 428 views

L'un des plus importants défis auquel les programmes de sécurité ont dû faire face ces dernières années est la diversification croissante des vecteurs d'attaque par lesquels les logiciels ...

L'un des plus importants défis auquel les programmes de sécurité ont dû faire face ces dernières années est la diversification croissante des vecteurs d'attaque par lesquels les logiciels malveillants pénètrent les hôtes.
Certaines des difficultés rencontrées pour bloquer les attaques modernes sont dues aux changements majeurs qui sont intervenus dans le paysage des menaces ces dix dernières années...

Statistics

Views

Total Views
428
Views on SlideShare
372
Embed Views
56

Actions

Likes
0
Downloads
4
Comments
0

2 Embeds 56

http://www.zdnet.fr 55
http://www.hyang.dev.zdnet.fr 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    F-Secure DeepGuard : Protection proactive contre les menaces émergentes F-Secure DeepGuard : Protection proactive contre les menaces émergentes Document Transcript

    • 1. Intérêt de l'analyse proactive des comportements L'un des plus importants défis auquel les programmes de sécurité ont dû faire face ces dernières années est la diversification croissante des vecteurs d'attaque par lesquels les logiciels malveillants pénètrent les hôtes. Cela s’explique notamment par la croissance du nombre d'applications, de réseaux et de services accessibles ou hébergés sur Internet. Cela est particulièrement préoccupant avec la popularité croissante des attaques en ligne qui exploitent les vulnérabilités des applications installées sur les postes afin d'exécuter du code malveillant. Certaines des difficultés rencontrées pour bloquer les attaques modernes sont dues aux changements majeurs qui sont intervenus dans le paysage des menaces ces dix dernières années : Croissance exponentielle des logiciels malveillants Depuis le milieu des années 2000, coïncidant avec l'apparition de kits de création de logiciels malveillants automatisant leur processus de production, le nombre d'échantillons de logiciels malveillants interceptés par les laboratoires antivirus a connu une croissance exponentielle. Des centaines de milliers de nouvelles souches ouvariantessontcrééesetpropagéeschaquemois.Enplusdeceschiffresaccablants, la plupart de ces variantes sont prévues pour ne « vivre » qu'un court laps de temps, parfois seulement quelques jours ou quelques heures, pour tenter délibérément de surcharger les programmes antivirus par leur nombre. Une nouvelle façon d’attaquer L'époque où les logiciels malveillants étaient le plus souvent diffusés via des pièces jointes dans des courriers électroniques est révolue depuis longtemps. Aujourd'hui, le vecteur d'attaque le plus commun est le téléchargement silencieux pendant la simple navigation, lors de visites sur des sites légitimes compromis, ou des sites web malveillants qui détournent le trafic des moteurs de recherche. En passant d'une méthode de diffusion directe sur les postes ciblés au monde en ligne plus nébuleux, les diffuseurs de logiciels malveillants et les pirates peuvent ainsi non seulement cibler plus large, mais également rendre la prévention des infections beaucoup plus difficile. Sans un mécanisme pour identifier les sites d'attaque et empêcher les utilisateurs de s'y rendre, les postes des utilisateurs peuvent être exploités avec succès, sans aucun signe manifeste d'attaque. Les logiciels malveillants sont devenus les armes du cybercrime Les conséquences des infections ont également changé avec l'avènement de la cybercriminalité. Le vol de données, le vol d'identité et la fraude financière, dans certains cas à très grande échelle, sont des activités criminelles qui ont été facilitées ces dernières années par les logiciels malveillants. Le FBI a notamment déclaré lors d'une audience du Sénat en 2012[1] que 14 millions de dollars de « paiements illégaux » avaientétégénérésparlebotGhostClicken2011.Enraisondesdifficultésrencontrées par la plupart des autorités - manque de ressources ou de volonté politique d'agir f-secure.fr | Protège l'irremplaçable F-Secure DeepGuard Protection proactive contre les menaces émergentes Vue d'ensemble Ce livre blanc décrit les tendances et les développements qui ont fait que les méthodes d'analyse comportementale et d'interception des tentatives d'exploitation sont devenues indispensables à la sécurité informatique. Il fournit également un aperçu des technologies et des méthodologies utilisées par DeepGuard et le système de prévention des intrusions sur hôte (HIPS) intégré aux solutions F-Secure. DeepGuard intègre une technologie d'analyse comportementale proactive et dynamique qui identifie et intercepte efficacement les comportements malveillants. Depuis 2013, un nouveau module d'interception des tentatives d'exploitation reconnaît et bloque les tentatives d'exploitation de vulnérabilités des programmes installés. DeepGuard propose une protection légère et complète pour les postes de travail et les serveurs avec un impact minimal pour les utilisateurs. Fonctionnalités clés • Moteur d'analyse utilisant les toutes dernières méthodes de détection pour offrir une protection contre les menaces émergentes • Surveillance continue des applications protégeant contre les actions malveillantes programmées • Module d'interception des tentatives d'exploitation reconnaissant et bloquant les attaques, y compris celles cachées dans des fichiers de type document Avantages • Protection immédiate des postes et des serveurs contre les menaces connues et les nouvelles menaces, avant même que les bases de données de signatures ne soient mises à jour • Interception des attaques contre les vulnérabilités des programmes installés • Identification et blocage de toute activité suspecte • Limitation des pertes potentielles de données confidentielles et des atteintes à la vie privée des utilisateurs dues aux infections de logiciels malveillants
    • contre la cybercriminalité - les cybercriminels se voient incités à poursuivre et améliorer leurs activités en ligne. Les logiciels les plus répandus, des cibles de choix Même si presque tous les logiciels contiennent des vulnérabilités, les cybercriminels et autres attaquants ont un intérêt particulier pour les vulnérabilités des applications les plus répandues telles que Java Runtime Environment (JRE), Adobe Reader, Microsoft Officeetlesnavigateursweb.Cesprogrammesontgénéralement des millions d'utilisateurs, ce qui en fait des cibles de choix pour les attaques. Beaucoup de ces applications ont de multiples vulnérabilités connues, et même si la plupart sont corrigées par des correctifs de sécurité publiés régulièrement par leurs éditeurs, le temps nécessaire pour développer et déployer ces correctifs sur tous les hôtes touchés laisse un laps de temps durant lequel les utilisateurs sont vulnérables. De plus, il n'existe pas toujours de correctifs sur les nouvelles vulnérabilités, dites « attaques zero- day », régulièrement découvertes, ce qui laisse la porte grande ouverte à leur exploitation. Les kits d'exploitation facilitent les attaques L'avènement de kits d'exploitation de haut niveau tels que BlackHole, Cool Exploit ou Sweet Orange, qui automatisent le processus d'identification et d'exploitation des hôtes dans les quelques secondes suivant la visite d’un site compromis, ont considérablement abaissé le niveau d'expertise technique nécessaire aux cybercriminelspourinfecter denouvellesvictimesviades logiciels malveillants. Ces kits d'exploitation ont fait passer l'exploitation des vulnérabilités d'une activité de niche à un vecteur d'attaque commun. Le nombre croissant de logiciels malveillants diffusés à l'aide de méthodes d'exploitation des vulnérabilités a conduit à un besoin en solutions de sécurité capables d'identifier et de bloquer les tentatives d'exploitation de vulnérabilités dans les programmes installés, avant que des logiciels malveillants ne puissent être déposés avec succès sur les hôtes. Les attaques ciblées sont plus difficiles à détecter Des attaques ciblées peuvent impliquer des tentatives d'exploitation et des mécanismes de diffusion plus obscurs. Ces attaques utilisent généralement des documents ou des fichiers exécutables soigneusement préparés pour s'adapter au profil de la victime visée, en tenant compte de leurs centres d'intérêt, leur systèmed'exploitationpréféréettouslesprogrammesdesécurité qu'ils peuvent utiliser. La nature très spécifique de ces attaques les rend particulièrement difficile à détecter par les méthodes de détection traditionnelles reposant sur des signatures. L'identification des programmes sains devient plus critique Le nombre d'applications saines ou non malveillantes disponibles aujourd'hui dans le monde se compte en millions, bien plus que ce que l'utilisateur moyen n’est susceptible de maîtriser. Cette abondance de programmes, leur facilité d'accès sur Internet et la nécessité de se maintenir au fait des mises à jour constantes, ne permet pas véritablement aux solutions de sécurité de compter uniquement sur des listes noires ou blanches locales pour fournir une protection adéquate. La majorité des programmes présents sur un poste type étant sains, l'identification correcte des logiciels non malveillants est une étape importante pour repérer les programmes vraiment dangereux et les étudier plus en détail. L'élimination des faux positifs sur les fichiers sains est également essentielle pour optimiser la performance d'une solution de sécurité, et bien sûr minimiser les interférences avec les activités des utilisateurs. Étant donné les différents défis posés par les réalités informatiques plus complexes et le paysage des menaces plus fluide d'aujourd'hui, les méthodes d'analyse traditionnelles reposant sur des signatures ne représentent désormais qu'un niveau de l'approche multicouche de la protection des postes. La vérification de la réputation des fichiers et des sites web via le Cloud, la prévention des intrusions sur le poste et l'analyse des comportements font désormais partie intégrante d'un système moderne de protection proactive. 2. Protection multicouche L'approchedesécuritémulticouchedeF-Secureintègrelesmodules suivants, chacun étant conçu pour traiter un aspect particulier de la nature des menaces et travailler ensemble pour proposer une solution complète : Comme mentionné précédemment, la plupart des attaques et des téléchargements de logiciels malveillants ont aujourd'hui lieu pendant la simple navigation sur Internet. Idéalement, la protection doit s'appliquer avant même que l'environnement du poste ne soit atteint, pour éviter toute exposition de points possibles d'infection. C'est le rôle de la protection de la navigation web. « LES LOGICIELS MALVEILLANTS ÉVOLUENT CONTINUELLEMENT MAIS UNE CHOSE NE CHANGE PAS : ILS ONT POUR BUT DE NUIRE À LA PERSONNE ET AU SYSTÈME D’INFORMATION. » Philippe Fourcin Presales Manager, F-Secure 18 +11+44+27 22 autres kits BlackHole Sweet Orange 44% 27% GRAPHIQUE 1 : KITS D'EXPLOITATION EN LIGNE LES PLUS RÉPANDUS, T1 2013[2] 18% Cool 11% DEEPGUARD Protection de la navigation web Analyse sur signatures Vérificationdelaréputationdesfichiers Analyse des comportements Interceptiondestentativesd'exploitation 2
    • HISTORIQUEDEDEEPGUARD 2006 Les débuts de la technologie d'analyse heuristique DeepGuard1.0intègrepourlapremièrefoisl'analysedes comportementsencomplémentdelatechnologiede détectionsursignatures.Lorsqu'unprogrammeestlancé, DeepGuardeffectuedeuxtests :unerecherchestatiquedes caractéristiquescommunémenttrouvéesdansleslogiciels malveillantsetl'émulationduprogrammedansunbacàsable virtuelpourévaluersoncomportement.Lesprogrammes quinemontrentaucuntraitoucomportementmalveillant connusontautorisésàs'exécuternormalement,tandisque ceuxquiontdescaractéristiquesrévélatricesoudesroutines malveillantessontbloqués. 2008 Lapremièresolutionantivirusintégrantl'interrogationduCloud Enplusdesanalysessursignaturesetdel'émulation, DeepGuard2.0interrogeSecurityCloudpourobtenir quasi-instantanémentdesinformationssurlaréputation d'unfichiersuspect.LesanalystesduLaboratoireF-Secure surveillentetmettentàjourlesinformationssurlaréputation desfichiersenpermanence,pourajouteruneintelligence humaineauprocessusautomatisé. 2010 LalogiquededétectiondeDeepGuardutiliselesmétadonnées desfichiers Enplusdescouchesdedétectionsursignaturesetd'analyse descomportements,DeepGuard3.0intègreuncomposant utilisantlesmétadonnéesdesfichiers,notammentleur rareté,ladatedeleurpremièreapparition,lesobjets connexes(entreautres),pourévaluerleurpotentiel demenace.Cettefonctionpermetl'identificationdes programmesmalveillantsàl'aidedefacteursderéputation, parexemplesilefichieraététéléchargédepuisunsite malveillantconnu,sansrecouriràunexamenplusapprofondi desescaractéristiquesoudesescomportements. 2011 Les informations de prévalence améliorent l'efficacité contre les fichiers rares Lemoteurd'analyserefondudeDeepGuard4.0utilisedes détectionsajustablesetdesdétectionsbêtapourréduirele nombredefaussesalertes.Ilutiliseégalementdeslogiques deprévalencepouridentifierlesfichiersàlafoisrareset malveillants,unefonctionnalitéquis'estavéréedécisivepour remporterleprixduProduitdel'année2011décernépar AV-ComparativesetleprixdelaMeilleureprotectionde2012 décernéparAV-Test[3] 2013 Protection améliorée contre les tentatives d'exploitation des vulnérabilités Lesinfectionsdelogicielsmalveillantsfacilitéesparles exploitationsvisantlesvulnérabilitésdesapplications courantessontdevenuesunvecteurd'attaqueprivilégié. DeepGuard5.0intègreunemeilleurelogiquededétection descomportements,ycomprisunmodulesurveillantle comportementdesprogrammescourammentciblésetles fichiersd'attaquepotentielsdurantleurexécution.Cette approcheglobaledel'analysedescomportementspermetà DeepGuardd'identifieretd'intercepterlesattaquesreposant surl'exploitationdesvulnérabilités,indépendammentdela vulnérabilitéspécifiquementciblée. Pour empêcher les utilisateurs de se rendre par inadvertance sur des sites légitimes compromis voire malveillants, la fonction de protection de la navigation web fournit une évaluation de la sécurité d'un site web. Si le site est connu comme malveillant, ou contient des caractéristiques qui le rendent suspect, l'utilisateur est mis en garde avant d'y entrer. Pour traiter efficacement les millions de sites disponibles sur Internet et les changements constants concernant leur sécurité, la fonction de protection de la navigation web interrogeleClouddesécuritédeF-Secure(voirpage4),quiintègreunebasede données recensant les fichiers et les sites web sûrs et malveillants. Les entrées de la base sont automatiquement mises à jour en temps réel en fonction de règles définies et maintenues par des analystes. Bienquelafonctiondeprotectiondelanavigationwebsoitcapabled'empêcher la plupart des visites sur des sites malveillants connus, il est toujours possible de rencontrer des sites malveillants ou nouvellement compromis inconnus, ou d'introduire des logiciels malveillants sur un poste d'une autre manière, via des supports amovibles notamment (clés USB par exemple). Chaque fois qu'un fichier suspect pénètre avec succès sur un poste, est installé ou modifié, il est alors soumis à de multiples contrôles de sécurité. Ilestd'abordanalyséàl'aided'unmoteurdedétectiontraditionnelsursignatures pour déterminer s'il s'agit d'une menace connue. Le moteur d'analyse utilise des méthodes de détection génériques, personnalisées et heuristiques pour identifier respectivement des logiciels malveillants spécifiques, des familles de logiciels malveillants avec des fonctionnalités similaires, et différentes caractéristiques physiques et comportementales malveillantes. Tout fichier dontlescaractéristiquescorrespondentàcellesdelogicielsmalveillantsconnus est bloqué. Bien que souvent négligées au profit de technologies plus sophistiquées, les analyses sur signatures restent une méthode efficace pour identifier et bloquer la grande majorité des logiciels malveillants connus à ce jour. Elles protègent égalementlesutilisateurscontrelesmenacespersistantestellesqueDownadup ouMelissa,quiontdébutéetontculminéilyadecelaquelquesannées,maisqui sont toujours actives et continuent d'infecter de nouvelles victimes. L'efficacité de ce contrôle dépend du maintien de la base de signatures à jour avec les toutes dernières détections. Pour tout fichier qui n'est pas identifié comme étant une menace connue, une requête est envoyée à l'infrastructure de F-Secure dans le Cloud pour recueillir les dernières métadonnées disponibles. L'analyse est ensuite effectuée par DeepGuard, qui prend en charge l'analyse des comportements, la surveillance desprocessusetl'interceptiondestentativesd'exploitationdefichierssuspects, aussi bien au lancement de l'application que lors de son exécution. 3. En savoir plus sur DeepGuard En d'autres termes, DeepGuard observe le comportement d'une application et empêche toute action potentiellement dangereuse. La nature apparemment simpledecettetâchenereflètepassonimportance.Cettesurveillanceproactive et l’interception à la volée sont les dernières lignes de défense, notamment contre les nouvelles menaces, y compris celles ciblant les vulnérabilités jusqu’alors inconnues. Les analyses des comportements fournissent une parade au talon d'Achille des analyses sur signatures : la nécessité pour les analystes d'obtenir un échantillon réel d'un logiciel malveillant afin de créer une signature l'identifiant. Étant donnélegrandnombredelogicielsmalveillantsconstammentcréésetdiffusés, les nouvelles menaces sont souvent capables d'infecter avec succès au moins une victime avant que la plupart des laboratoires antivirus soient en mesure de prélever un échantillon, l'analyser et publier une détection. La détection reposant sur le comportement couvre cet écart important entre la première apparition d'un nouveau logiciel malveillant et la première signature publiée pour contrer cette menace. En mettant plus l'accent sur des modèles de comportements malveillants que des caractéristiques physiques uniques, DeepGuard est capable d'identifier et de bloquer les programmes effectuant
    • des actions nuisibles, avant même qu'un échantillon réel n'ait été obtenu et examiné. Par exemple, pour toutes les tentatives d'infection des logiciels malveillants Zeus signalées en avril 2013, 80% concernaient des variantes inédites. DeepGuard a pourtant réussi à bloquer les infections en reconnaissant le comportement malveillant des fichiers et en bloquant les attaques. Les bases de signatures ont été ensuite mises à jour afin d'identifier ces échantillons, mais pour les utilisateurs faisant face à ces nouvelles menaces, l'analyse proactive de DeepGuard a fourni une protection immédiate contre les infections. Depuis 2011, le moteur d'analyses de DeepGuard entièrement refondu intègre (parmi de nombreuses autres améliorations) un mécanisme permettant de mettre à jour sa logique de détection. Les analystes du Laboratoire F-Secure surveillent constamment le paysagedesmenacesetanalysentlesmenaceslesplusrécentesafin de déterminer la meilleure façon d'identifier les comportements malveillants. L'intégration des résultats de cette recherche dans le moteur d'analyse de DeepGuard est ce qui lui permet de rester toujours aussi efficace contre les toutes dernières menaces. Compte tenu de la nature éphémère de la plupart des variantes de logiciels malveillants, les détections sur signatures ne sont efficaces que lorsque les logiciels malveillants détectés sont encore « actifs ». En revanche, les mécanismes de détection de DeepGuard peuvent effectivement identifier les logiciels malveillants sur une période de temps beaucoup plus longue, puisque le comportement des logiciels malveillants mute beaucoup moins. Le 12 juillet 2012, par exemple, DeepGuard a bénéficié d'une nouvelle détection, tandis que la base de données de signatures a reçu 600 nouveaux ajouts. Neuf mois plus tard, en mars 2013, des tests effectués avec la même base de données sur un ensemble d'échantillons malveillants aléatoireslesplusrécentsontprouvéqueladétectiondeDeepGuard bloquait 12 fois plus d'infections de logiciels malveillants récents que « l'ancienne » série de signatures. La proactivité et la longévité des détections de DeepGuard sont illustrées dans le Graphique 2 (ci-dessus), qui est basé sur des statistiquesdedétectiondessystèmesinternesdeF-Securepourles variantes du rançonneur Urausy. DeepGuard a permis d'identifier les variantes (et donc de bloquer les tentatives d'infections) plus tôt et a continué de le faire pendant plus longtemps, tandis que l'efficacité Security Cloud, le Cloud de Sécurité En opération depuis 2008, Security Cloud (anciennement appelé Réseau de protection en temps réel) est le Cloud de F-Secure, hébergeant les différentes bases de données et les systèmes d'analyse automatisés qui améliorent la performance des solutions de sécurité de F-Secure installées sur les postes clients. L'infrastructure de ce réseau est hébergée sur les serveurs de plusieurs centres de données répartis dans le monde entier. Les postes des utilisateurs qui se connectent à Security Cloud sont en mesure de récupérer les informations les plus à jour sur les menaces observées par d'autres postes protégés, ce qui rend la protection beaucoup plus réactive et efficace. Lorsqu'un nouvel objet, tel qu'un fichier ou une URL, est détecté sur un poste, la solution communique avec Security Cloud à l'aide du protocole ORSP (protocole du service de vérification de la réputation) fortement crypté pour obtenir des informations sur sa réputation. Des métadonnées anonymes sur l'objet, telles que la taille du fichier et son chemin d'accès anonymisé, sont envoyés à Security Cloud. Ces requêtes sont totalement anonymes et les adresses IP ne sont pas stockées pour garantir la confidentialité des utilisateurs. En évaluant les métadonnées reçues, avec des informations tirées des bases de données internes et diverses autres sources, les systèmes d'analyse automatisés de Security Cloud (qui prennent jusqu'à 8 millions de décisions par jour) sont capables de fournir un verdict quant au risques présentés par l'objet au cours de l'étape d'évaluation de pré-lancement de DeepGuard, et de bloquer immédiatement, le cas échéant, une menace qui a déjà été vue par tout autre poste connecté à Security Cloud. Cela élimine la nécessité d'effectuer des analyses plus approfondies de l'objet sur le poste, réduisant ainsi l'impact sur les activités des utilisateurs. Security Cloud permet également aux analystes du Laboratoire F-Secure d'intégrer une intelligence humaine critique et un jugement pour complémenter les systèmes automatisés et les technologies d'analyse sur hôte. En plus de créer et de maintenir les règles des bases de données et des systèmes d'analyse automatisés, les analystes surveillent activement le paysage des menaces et étudient les caractéristiques et les comportements des logiciels malveillants pour déterminer les moyens les plus efficaces d'identifier les programmes véritablement malveillants. Dès qu'une menace est confirmée (ou la réputation d'un fichier connu est modifiée), la mise à jour des informations correspondantes prend 60 secondes pour atteindre toutes les solutions connectées à Security Cloud. 2h00 23 février 2h00 25 février 2h00 27 février 2h00 1er mars 2h00 3 mars 2h00 5 mars DeepGuard Signatures MOTEURS D'ANALYSES HEURE NOMBREDEDÉTECTIONS GRAPHIQUE 2 : NOMBRE DE DÉTECTIONS DU RANÇONNEUR URAUSY, DU 23 FÉV AU 5 MAR 2013
    • de la détection équivalente sur signatures a atteint un pic puis a diminué rapidement, alors que de nouvelles variantes d’Urausy continuaient d'apparaître. (La raison du pic plus élevé de l'efficacité deladétectionsursignaturesestdueaufaitqu'ils'agitd'unecouche de défense en amont de DeepGuard. Si ces détections n'avaient pas été efficaces, c'est alors l'efficacité de la protection de DeepGuard qui aurait atteint un pic.) La logique de détection modifiable de DeepGuard est particulièrementutiledanslaluttecontrelesattaquesquiexploitent les vulnérabilités des programmes installés, afin d'exécuter des programmes malveillants sur un poste. Dans de tels cas, le logiciel malveillant lui-même peut être repéré et bloqué grâce aux analyses sur signatures ou aux analyses des comportements. Pour stopper les attaques à un stade encore plus avancé, c'est-à-dire au point de la tentative d'exploitation, les analystes du Laboratoire F-Secure examinent le mécanisme d'exploitation pour découvrir les actions révélatrices ou les modèles de comportement, puis incorporent les résultats de la recherche dans le moteur d'analyse de DeepGuard. Il estalorsenmesured'identifieretdebloquerlesactionssuspectesqui portent les marques d'une tentative d'exploitation de vulnérabilité, empêchant ainsi les logiciels malveillants d'atteindre le poste. En tenant compte des mécanismes d'exploitation spécifiques ainsi que des caractéristiques et des comportement des logiciels malveillants s'attaquant au système, DeepGuard peut identifier et bloquer efficacement les menaces à la volée, même s'il s'agit de nouveaux logiciels malveillants ciblant des vulnérabilités zero-day. 4. Fonctionnement de F-Secure DeepGuard Les analyses des comportements de DeepGuard sont activées par deux événements. Lorsqu'un programme est lancé pour la première fois, DeepGuard l'analyse pour déterminer si son exécution est sûre. DeepGuard continue cependant de le surveiller pendant son exécution. 4.1 Analyse de pré-lancement Lorsqu'un programme est exécuté pour la première fois, peu importe la manière (l'utilisateur clique sur l'icône du fichier ou sur la pièce jointe d'un email, un autre programme le déclenche, etc.), DeepGuard retarde temporairement son exécution afin d'effectuer les vérifications suivantes : Vérification de la réputation du fichier Si une connexion Internet est disponible, DeepGuard envoie une requête au Cloud de Sécurité (Security Cloud, voir page 4) pour obtenir les toutes dernières informations sur la réputation du programmedepuislabasededonnéesdefichierssains,quicontient les toutes dernières évaluations de sécurité d'un grand nombre d'applications couramment utilisées. Cette base de données est maintenue et constamment mise à jour par les analystes du Laboratoire F-Secure. Les programmes qui ont été classifiés comme étant sains dans la base de données sont autorisés à outrepasser les contrôles supplémentaires et sont lancés immédiatement, tandis que les fichiers malveillants connus sont bloqués sur le champ. Pour l'utilisateur, l'interrogation du Cloud présente un certain nombre d'avantages. La possibilité d'utiliser un verdict de sécurité pour un fichier connu depuis une base de données de fichiers sains élimine la charge de l'identification des programmes inconnus ou peu familiers côté utilisateur, et évite de contrôler inutilement les fichierssains.Grâceàlaréductionduvolumedelogicielsdevantêtre évalués individuellement, la possibilité de mettre des programmes sélectionnés en liste noire ou blanche prend tout son sens. Enfin, même si les bases de données de signatures sont rarement mises à jour ou plus à jour du tout, DeepGuard utilise les informations de réputation des fichiers les plus à jour pour affiner son analyse. Analyse des comportements Lorsqu'un programme est signalé comme étant suspect lors de la vérification de la réputation des fichiers, ou si l'accès à Internet n'est pas disponible, DeepGuard l'exécute dans un environnement virtuel et observe son comportement pour détecter des actions malveillantes, telles que les tentatives d'auto-reproduction, de modification ou de suppression des fichiers système critiques, et ainsi de suite. Les analystes du Laboratoire F-Secure mettent à jour continuellement le moteur d'analyse de DeepGuard en lui ajoutant les détections des comportements les plus efficaces nécessaires au repérage des programmes malveillants. Ces détections peuvent identifier des familles spécifiques de logiciels malveillants (qui ont généralement des caractéristiques ou des comportements en commun) et peuvent plus généralement identifier les actions suspectes, notamment celles visant à se cacher des programmes d'énumération de processus, signes d'une intention malveillante. La possibilité d'ajuster le moteur de DeepGuard de cette manière fournit un degré d'appréciation et de flexibilité humaines, pour des analyses plus fines et finalement plus précises. Vérification du taux de prévalence DeepGuard intègre un module qui s'intéresse tout particulièrement autauxdeprévalencedesfichiers.Lesfichierssainsonttypiquement des milliers ou des millions d'utilisateurs, ce qui les rend très populaires.Enrevanche,leséchantillonsdelogicielsmalveillantssont relativement rares. Selon les statistiques générées par les systèmes internes de surveillance des menaces connues de F-Secure, dans un échantillon aléatoire de programmes malveillants détectés au Image 1 : DeepGuard bloque une application dangereuse 5
    • généralement la cible des tentatives d'exploitation et sur les types de fichiers couramment utilisés dans le cadre de ces tentatives d'exploitation. 5.1 Surveillance des programmes sujets à exploitation La première méthode s'intéresse aux programmes fréquemment exploités tels que Java Runtime Environment (JRE), Adobe Reader, Microsoft Office et ainsi de suite. Ces programmes sont placés sous étroite surveillance et sont bloqués plus agressivement lorsque des comportements malveillants sont détectés. Biensûr,ilestpeuprobablequecettelistedeciblesprivilégiéesreste figée. Par exemple, ce n'est que durant les deux dernières années que JRE a remplacé Adobe Reader comme logiciel le plus exploité. D'autres programmes peuvent également obtenir cette distinction peu enviable à l'avenir. La liste des programmes spécifiquement choisis par DeepGuard peut être modifiée si nécessaire par les analystes du Laboratoire F-Secure ; une approche souple qui permet à DeepGuard de s'adapter aux changements dans le paysage des menaces. 5.2 Surveillance des tentatives d'exploitation via documents Certains types de documents, tels que Microsoft Word ou Adobe PDF, sont couramment utilisés comme vecteur d'attaque. Ainsi, tout logiciel utilisé pour ouvrir ces types de documents est également sujet à une plus grande attention de la part de la deuxième méthode d'interceptiondestentativesd'exploitation,quiscruteattentivement ces programmes pour détecter tout comportement suspect causé par des documents malveillants. Cette forme d’interception des tentatives d’exploitation répond à la forme la plus fréquente d’attaques ciblées, qui implique l'envoi de documents soigneusement élaborés à un individu ou une entreprise visée, comme cela s'est produit au cours de l'attaque RSA en 2011 et lesattaquesdudébut2013appelées« RedOctober »[4] .Danslecadre decesattaques, desdocumentsExceletWordpiégésontétéutilisés pour exploiter les vulnérabilités connues de ces programmes. Enmettantl'accentsurladétectiondesactesmalveillantsprovenant de documents, cette méthode unique à DeepGuard est capable de mieux faire face aux tentatives d'exploitations via documents, quelles que soient les caractéristiques physiques des fichiers ou les vulnérabilités spécifiquement ciblées. 6. Prévention des faux positifs Un module séparé de détections en version bêta, ajouté en 2011 dansDeepGuard,améliorelaprécisiondelaperformancedumoteur d'analyse. Ilintègrelalogiquededétectioncomplètenécessaireàl'identification et au blocage des tentatives d'exploitation de vulnérabilités, mais est cependant configuré par les analystes du Laboratoire F-Secure pour tout simplement informer Security Cloud chaque fois que la détection aurait été déclenchée par l'analyse d'un fichier. Ce processus de bêta-test fournit aux analystes des informations cruciales sur l'efficacité de ces détections, pour leur permettre d'affiner la logique de détection et éviter les faux positifs potentiels avant leur publication pour une utilisation réelle. cours des quatre premiers mois de 2013, 99,7% des menaces étaient rarement rencontrées par notre base d'utilisateurs. Les fichiers rares ou les nouveaux fichiers sont automatiquement considérés comme étant plus suspects et sont soumis à des examens plus approfondis durant l'étape suivante de surveillance des processus. Jugement sur exécution En fonction de la réputation et du comportement des fichiers pendant leur émulation, DeepGuard émet l'un des quatre verdicts suivants : a) Le fichier est malveillant et est bloqué b)L'utilisateuralapossibilitéd'autoriserouderefusersonlancement c) Le fichier est sain et est autorisé à s'exécuter d) L'état du fichier, sain ou malveillant, est encore inconnu Si le lancement du fichier est bloqué, un message de notification s'affiche (voir Image 1, page précédente), fournissant des détails supplémentaires et la possibilité de mettre le programme en liste blanche. Si l'état du fichier est encore inconnu, DeepGuard autorise son exécution mais continue de le surveiller pendant l'étape suivante de surveillance des processus. 4.2 Lors de l'exécution de l'application Même si un programme a passé avec succès l'analyse de pré- lancement et est exécuté, DeepGuard continue de surveiller son comportementàtitredeprécautioncontrelesroutinesmalveillantes à retardement, une tactique couramment utilisée par les logiciels malveillants pour contourner les contrôles durant l'exécution. Cette forme de vigilance silencieuse permet également à DeepGuard de fournir aux utilisateurs une protection constante, sans empiéter visiblement sur leurs activités par un affichage excessif de messages d'alerte. Surveillance des processus La surveillance des applications s'attache à détecter un certain nombre d'actions suspectes, y compris (mais sans s'y limiter) : • La modification de la base de registre de Windows • La modification de fichiers situés dans certains répertoires systèmes critiques • L'injectiondecodedansl'espacemémoired'unautreprocessus • Les tentatives de masquage des processus ou l'auto- reproduction Même si des programmes légitimes effectuent ces mêmes actions de temps à autre, DeepGuard ne soupçonne pas un programme sur la base d'une seule action, mais s'attache plutôt à détecter plusieurs opérations suspectes. Une fois que le seuil critique d'actions suspectes est atteint, DeepGuard empêche le programme de poursuivre son exécution. Si elles sont disponibles dans le Security Cloud, les informations de réputation des fichiers et leur prévalence sont également prises en compte pour déterminer ce seuil critique. DeepGuard traite par exemple les fichiers peu fréquents plus agressivement en abaissant le seuil critique des actions suspectes pouvant être effectuées avant que le fichier ne soit bloqué. 5. Interception des tentatives d'exploitation Depuis 2013, DeepGuard emploie également deux méthodes d'interceptiondestentativesd'exploitationquiétendentlaprotection dynamique de l'analyse des comportements sur hôte, en s'attachant spécifiquement au contrôle des processus de programmes qui sont 6
    • ZEROACCESS Détecté pour la première fois en 2010, le rootkit ZeroAccess permet à des attaquants de prendre le contrôle à distance des postes des utilisateurs pour les intégrer à un botnet spécialisé dans la fraude au clic et l'extraction de Bitcoins. Depuis 2012, ZeroAccess est l'un des logiciels malveillants les plus fréquemment détectés[5] . Les défis présentés LastratégiedepropagationdeZeroAccessestremarquable.Lesopérateurs du botnet sous-traitent la diffusion à des « partenaires affiliés »[5] recrutés dans des forums « underground ». Les affiliés utilisent plusieurs stratégies pour répandre le logiciel malveillant, grâce notamment à des kits d'exploitationdevulnérabilités,viadesservicesdepartagedefichiers,despiècesjointesd'emails,dansdeschevauxdeTroie,etc.Ladiversité des méthodes de diffusion n'a pas seulement augmenté efficacement la couverture géographique du botnet (voir Image 2 ci-dessus) pour atteindre beaucoup plus de cibles, mais a également compliqué les efforts nécessaires pour freiner la propagation du logiciel malveillant puisque les canaux utilisés pour le distribuer sont assez variés. Au fil des années, les développeurs de ZeroAccess ont également modifié activement le rootkit pour contourner les méthodes d'analyse et échapper à toute détection, intégrant par exemple des fonctionnalités empêchant l'émulation et le débogage, des fonctionnalités de chiffrement et ainsi de suite[6] . Une structure sophistiquée de commande et de contrôle en P2P a également été introduite pour empêcher les solutions de protection de bloquer les communications entre les opérateurs du botnet et les postes infectés. Le développement continu de ZeroAccess a inévitablement conduit à une course à l’armement entre les ingénieurs du logiciel malveillant et les éditeurs de solutions antivirus. Contournement des défenses de ZeroAccess DeepGuard travaille en tandem avec les autres composants de la solution de sécurité, tels que le module de vérification de la réputation des fichiers, d'analyse sur signatures, etc., pour se positionner sur les différents vecteurs d'attaque utilisés par ZeroAccess. Les modules d'interception des tentatives d'exploitation de DeepGuard sont particulièrement pertinents pour stopper les attaques visant à déposer ZeroAccess sur un poste, puisqu'ils reconnaissent et stoppent les intrusions reposant sur des tentatives d'exploitation. Lorsqu'un fichier de ZeroAccess parvient à pénétrer sur un poste (s'il n'a jamais été détecté auparavant), la fonction d'analyse des comportements de DeepGuard entre alors en jeu. Même si le logiciel malveillant est techniquement sophistiqué,unaspectfondamentallelaisseinévitablement exposéetvulnérable :lesactionsmalveillantesqu'ileffectue surleposte.Grâceàsesmécanismesdedétectionreposant sur les résultats des recherches approfondies menées sur les routines de ZeroAccess, DeepGuard est, ironiquement, capable de reconnaître et bloquer le logiciel malveillant en raisonmêmedesestentativespouréchapperàladétection. Si la connexion au Security Cloud (voir page 4) est disponible, DeepGuard fournit les détails du fichier aux différentes bases de données et systèmes d'analyse automatisés de l'infrastructure de F-Secure dans le Cloud, quisontutilisésàleurtourpourcréerunesignaturecapable d'identifiercettevarianteparticulière.Lavariantepeutalors être systématiquement reconnue par les fonctions de vérification de la réputation des fichiers ou d'analyse sur signatures. Nous pouvons voir la protection proactive de DeepGuard en action dans le cas d'une variante de ZeroAccess - appelons-la Échantillon 1 - détectée dans la soirée du 22 janvier 2013. Comme on peut le voir dans le Graphique 3 (ci-dessus) des statistiques de détection rapportées par les premiers postes qui ont détecté la variante, DeepGuard a été le premier moteur d'analyse de la solution à reconnaître et bloquer les tentatives d'infection. Peu de temps après, Security Cloud a reçu les détails pertinents de cet échantillon particulier et a procédé au blocage des tentatives d'infection suivantes. En moins de 24 heures, une nouvelle signature a été publiée et diffusée aux solutions de sécurité de F-Secure, leur permettant d'identifier et de bloquer l’échantillon 1 à l'aide du moteur d'analyse sur signatures. En d'autres termes, DeepGuard a effectué une analyse proactive des comportements pour reconnaître et bloquer une menace inédite. Il a relayé l'information nécessaire pour identifier le fichier malveillant aux systèmes de F-Secure dans le Cloud, qui l'ont ensuite rapidement diffusée à tous les systèmes protégés pour les « immuniser » efficacement contre une menace jamais rencontrée à date. Puisqu'il s'agit maintenantd'unemenaceconnue,lefichierpeutêtreidentifiéviasasignature,desortequelasolutionpeutimmédiatementlebloquersans avoir besoin d'effectuer d'autres contrôles. ÉTUDE DE CAS Image 2 : Cartographie du botnet ZeroAccess, visualisée dans Google Earth[7] GRAPHIQUE 3 : NOMBRE DE DÉTECTIONS D'ÉCHANTILLON 1 DU 23 AU 25 JANVIER 2013 DeepGuard 12h00 23 jan. 0h00 24 jan. 12h00 24 jan. 0h00 25 jan. 12h00 25 jan. HEURE Signature en ligne MOTEURS D'ANALYSES Source : Systèmes de surveillance internes de F-Secure NOMBREDEDÉTECTIONS
    • Références 1. Déclaration devant le Comité sénatorial sur la sécurité intérieure et les affaires gouvernementales de Robert S. Mueller, III, du FBI, le 19 septembre 2012 à Washington, DC ; http://www.fbi.gov/news/testimony/homeland-threats-and-agency-responses 2. Article La distribution des kits d'exploitation publié par Karmina Aquino du blog de F-Secure, le 12 mars 2013 ; http://www.f-secure.com/weblog/archives/00002522.html 3. Prix AV-Test de 2013 décerné le 11 février 2014 ; http://www.av-test.org/fr/test-procedures/award/2013/ 4. Article C'est Octobre rouge tous les mois publié sur le blog de F-Secure le 15 janvier 2013 ; http://www.f-secure.com/weblog/archives/00002486.html 5. Rapport des menaces du second trimestre 2012 du Laboratoire F-Secure, publié le 5 février 2013 ; http://www.f-secure.com/static/doc/labs_global/Research/Threat_Report_H2_2012.pdf 6. Article Le rootkit ZeroAccess par James Wyke de SophosLabs, UK ; http://nakedsecurity.sophos.com/zeroaccess4/ 7. Article Les États-Unis de ZeroAccess par Sean Sullivan du blog F-Secure, publié le 20 septembre 2012 ; http://www.f-secure.com/weblog/archives/00002430.html 8. Disponibilité DeepGuard est un composant à part entière de différentes solutions de sécurité de F-Secure, y compris Anti-Virus, Client Security, Internet Security et Protection Service for Business (PSB). DeepGuard y est activé avec des paramètres par défaut, mais peut également être désactivé séparément. DeepGuard est un élément central de la récompense d'AV-Test Les fonctions d'analyse des comportements et de surveillance des processus de DeepGuard ont fait leurs preuves durant les tests menés par le comparateur indépendant AV-Test, qui a mis à l’épreuve F-Secure Client Security face à une multitude d'échantillons de logiciels malveillants et de scénarios d'utilisation. Durant ces tests, l'efficacité des analyses de DeepGuard, reposant sur les comportements et la réputation, s'est avérée essentielle dansl'identificationetleblocagede la plupart des logiciels malveillants parmi tous les produits testés. F-Secure Client Security a ainsi pu obtenir le « Prix de la meilleure protection AV-TEST en 2013 »[3] . 7. Conclusion Les solutions de sécurité de F-Secure utilisent une approche multicouche intégrant plusieurs composants qui répondent aux défis présentés par les menaces observées dans le monde réel. Les fonctions d'analyse des comportements et de surveillance des processus de DeepGuard sont essentielles pour identifier et bloquer les logiciels malveillants les plus sophistiqués et répandus aujourd'hui. DeepGuard fournit une protection proactive et immédiate contre les nouvelles menaces et les menaces émergentes en s'attachant à détecter les comportements malveillants des applications, plutôt qu’àidentifierdemanièrestatiquedesmenacesspécifiquesconnues. Ce changement d'orientation permet à DeepGuard d'identifier et bloquer les logiciels malveillants encore inédits en fonction de leur comportement seul, offrant ainsi une protection jusqu'à ce que les analystes du Laboratoire F-Secure soient en mesure d'analyser et de publier un mécanisme de détection pour cette menace spécifique. Grâceàl'interrogationduClouddesécuritédeF-Secure,DeepGuard est également en mesure d'utiliser les toutes dernières informations surlaréputationdesfichiersdisponiblespourtoutobjetdéjàdétecté, et peaufiner ses jugements, ce qui réduit les risques de faux positifs et d'analyses redondantes pouvant interférer avec les activités des utilisateurs. L'analyse des comportements sur hôte de DeepGuard permet également d'intercepter les tentatives d'exploitation des vulnérabilités des programmes les plus utilisés pour installer des programmes malveillants sur les postes. DeepGuard est capable d'identifieretdebloquerlesroutinescaractéristiquesd'unetentative d'exploitation des vulnérabilités pour empêcher toute infection. L'interception des tentatives d'exploitation des vulnérabilités protège les utilisateurs de tout dommage même lorsque des programmes vulnérables sont présents sur leur poste. DeepGuard combine des technologies d'analyse sophistiquées avec l'expertise technique des analystes du Laboratoire F-Secure Labs, pour analyser efficacement les comportements et la réputation des fichierssurhôte,cequiamélioreconsidérablementlaprotectiondes utilisateurs.