Malware nouvelle génération – La partie visible de l’Iceberg

par Bruno Leclerc, Directeur de la division Advanced Technologies d’Exclusive Networks

La progression des nouvelles technologies d’attaques, qui semble aujourd’hui sans limite, remet en cause la fiabilité des infrastructures de sécurité périmétriques sur des FireWalls ancienne génération ou des IPS/IDS incluant simplement des bases de signatures d’attaques. Le paysage des menaces applicatives est en constante évolution. Nous observons une évolution massive des logiciels malveillants qui ont développé des mécanismes d’attaques et des systèmes comportementaux perfectionnés.

Repenser les infrastructures de sécurité et la protection du patrimoine informationnel est plus que jamais essentiel !

Le constat est sans appel : nous entrons dans une nouvelle ère d’attaques informatique et de formes de cybercriminalité. Ces nouveaux actes de piratage se focalisent sur la destruction ou la récupération des données de l’entreprise. Ne pas en tenir compte, pour les RSSI (Responsable de la Sécurité des Systèmes d’Information), pourrait être considéré comme une atteinte à leur conscience professionnelle.

Les algorithmes de chiffrement protégeant le flux entre ordinateurs zombies et serveurs de contrôle, les mécanismes de polymorphisme, les composants additionnels comme des rootkits empêchant toute détection par des solutions antivirales classiques… sont autant d’obstacles qui rendent les nouvelles menaces de plus en plus difficiles à détecter, tant qu’elles n’ont pas été identifiées et ajoutées dans les bases de données de définitions de virus (zéro-day).

Les nouvelles attaques de types APT (Advanced Persistent Threat) sont caractérisées par la capacité à reconnaître l’écosystème de la victime (scan, ingénierie sociale), à s’introduire furtivement dans les systèmes cibles (envoi de mail ciblés avec cheval de Troie), à mettre en place un backdoor sur le réseau pénétré, et à obtenir des droits d’accès vers d’autres systèmes internes. Elles permettent également d’installer un ensemble d’outillage nécessaire à la furtivité et l’exfiltration de données, d’obtenir des privilèges plus importants (après sniffing de données par exemple), d’exfiltrer furtivement des données (avec encryption et/ou utilisation de canaux licites, HTTP par exemple), et de s’adapter à l’écosystème et ses détecteurs pour préserver les acquis de l’attaquant.

Autre exemple qui défraie la chronique : TDL-4, quatrième génération d’un malware découvert en 2008, est actuellement le plus sophistiqué et l’un des plus inquiétants dans le monde du piratage informatique. Ce cheval de Troie a déjà infecté plus de 4,5 millions de poste de travail.

Les changements sont tels, que les solutions Anti-Virus existantes ne permettent pas de déceler certaines menaces ou, à l’inverse, laissent visibles un grand nombre de faux positifs.

Seule l’exécution en temps réel du code suspicieux, dans un environnement virtualisé et isolé (sandbox) reflétant le système d’exploitation de la victime, offrira des certitudes sur l’objet analysé, son comportement et ses intentions de nuire.

Ainsi… nous tournons une nouvelle page de la Sécurité de l’information. Associée à une évolution cruciale des infrastructures informatiques au travers des Cloud privé et public, cette vague de menaces se trouve renforcée dans les architectures virtuelles. Détecter pour être visible est devenu la meilleure approche.

Pour répondre à ces nouvelles générations de malware, les entreprises doivent se tourner vers des solutions novatrices à même d’analyser le flux de communication à la volée et l’ensemble des codes exécutables, sans pour autant accroître le temps de latence. Pour ce faire, les principales solutions du marché s’appuient sur des environnements virtuels capables d’exécuter l’ensemble des exécutables, scripts, macro… dans une Sandbox.

Tel un poste de travail, ces machines virtuelles offrent une réelle vision de l’exécution du code, ainsi que l’impact réel que le code malveillant aurait pu avoir sur un poste de travail. Elles permettent ainsi de détecter toute intrusion ou manipulation logicielle sur le poste de travail comme la modification des clés de registre, l’ouverture d’un port de communication, l’installation d’un antivirus ou l’arrêt d’un process FireWall…

Ces nouvelles générations d’équipements de détection de Malwares modernes s’intègrent simplement dans les architectures existantes en mode coupure et sur un port miroring, sans ralentir le trafic initial : le flux est tout simplement dupliqué sur les machines virtuelles. En combinant plusieurs machines virtuelles, ces équipements offrent une parallélisation des analyses en temps réel.

La performance au profit de la sécurité !