Vidéo: Les logiciels malveillants (Novembre 2024)
L'analyse dynamique de logiciels inconnus dans un environnement contrôlé (ou "sandboxing") est un outil puissant utilisé par les professionnels de la sécurité pour éliminer les logiciels malveillants. Cependant, les méchants connaissent bien la technique et ont introduit de nouvelles astuces pour sortir du bac à sable et pénétrer dans votre système.
"L'analyse dynamique est la bonne solution et beaucoup de gens le font", a déclaré Christopher Kruegel, co-fondateur et scientifique en chef de la société de sécurité LastLine. "Mais vraiment, cela ne fait que gratter la surface." L'ancien modèle de solutions audiovisuelles se concentrait sur des listes de logiciels malveillants connus et protégeait contre tout ce qui correspond à cette liste. Le problème est que cette méthode ne peut pas se prémunir contre les exploits du jour zéro ou les innombrables variations des logiciels malveillants existants.
Entrez sandboxing, qui exécute un logiciel inconnu dans un environnement contrôlé, comme une machine virtuelle, et surveille s'il se comporte comme un malware. En automatisant le processus, les sociétés audiovisuelles ont été en mesure de fournir une protection en temps réel contre les menaces qu’elles n’avaient jamais vues auparavant.
Briser le bac à sable
Sans surprise, les méchants ont introduit de nouveaux outils pour tromper les sandboxes en leur faisant ignorer le malware et le laisser passer. Kruegel a cité deux manières par lesquelles les logiciels malveillants ont commencé à le faire: la première est l'utilisation de déclencheurs environnementaux, dans laquelle le logiciel malveillant vérifiera subtilement s'il est exécuté dans un environnement en mode bac à sable. Un logiciel malveillant vérifie parfois le nom du disque dur, le nom de l'utilisateur, si certains programmes sont installés, ou d'autres critères.
La deuxième méthode, plus sophistiquée, décrite par Kruegel, consistait en un malware qui bloquait le bac à sable. Dans ce scénario, le malware n'a pas besoin de vérifier, mais effectue des calculs inutiles jusqu'à ce que le sandbox soit satisfait. Une fois que le bac à sable a expiré, il transfère le programme malveillant sur l'ordinateur réel. "Le logiciel malveillant est exécuté sur le véritable hôte, fait sa boucle, puis fait de mauvaises choses", a déclaré Kruegel. "C'est une menace importante pour tout système qui utilise une analyse dynamique."
Déjà à l'état sauvage
Des variantes de ces techniques de rupture de bac à sable ont déjà trouvé leur place dans des attaques très médiatisées. Selon Kruegel, l'attaque contre les systèmes informatiques sud-coréens la semaine dernière avait un système très simple pour éviter la détection. Dans ce cas, Kruegel a déclaré que le logiciel malveillant ne fonctionnerait qu’à une date et une heure données. "Si le bac à sable l'obtient le lendemain ou la veille, il ne fait rien", a-t-il expliqué.
Kruegel a eu recours à une technique similaire lors de l'attaque d'Aramco, au cours de laquelle un logiciel malveillant a détruit des milliers de terminaux informatiques dans une société pétrolière du Moyen-Orient. "Ils vérifiaient que les adresses IP faisaient partie de cette région. Si votre bac à sable ne se trouve pas dans cette zone, il ne s'exécutera pas", a déclaré Kruegel.
Parmi les logiciels malveillants que LastLine a observés, Kruegel a déclaré à SecurityWatch avoir découvert qu'au moins cinq pour cent utilisaient déjà du code bloquant.
La course aux armements AV
La sécurité numérique a toujours été une question d'escalade avec des contre-mesures répondant à de nouvelles contre-attaques toujours plus nombreuses. Eviter les sandbox n'est pas différent, la société de Kruegel, LastLine, a déjà cherché à étudier plus en profondeur les logiciels malveillants potentiels en utilisant un émulateur de code et en ne permettant jamais aux logiciels malveillants potentiels de s'exécuter directement.
Kruegel a déclaré qu'ils essayaient également de "pousser" les programmes malveillants potentiels vers des comportements indésirables, en essayant de casser les boucles bloquantes potentielles.
Malheureusement, les producteurs de logiciels malveillants innovent à l'infini et bien que seulement cinq pour cent aient commencé à battre des sandbox, il y a fort à parier qu'il y en a d'autres que nous ignorons. "Chaque fois que les fournisseurs proposent de nouvelles solutions, les attaquants s'adaptent et le problème du bac à sable n'est pas différent", a déclaré M. Kruegel.
La bonne nouvelle est que si les avancées technologiques ne sont peut-être pas terminées, d'autres ciblent les méthodes utilisées par les producteurs de logiciels malveillants pour gagner de l'argent. Peut-être que cela va frapper les méchants où même la programmation la plus intelligente ne peut pas les protéger: leurs portefeuilles.
