Antivirus Nouvelle Génération

Le marché de la cybersécurité est en forte croissance depuis une dizaine d’années  grâce à l’émergence des solutions de sécurité réseaux (IPS, Firewall, Proxy…), des briques de protections empilées qui, aujourd’hui, font face à de fortes contraintes engendrées par la montée en puissance du chiffrement SSL et de l’usage des applications SaaS. Face à cela, l’antivirus qui a connu peu d’évolution depuis sa naissance, devient sujet à de profondes  évolutions et remarquables innovations ces dernières années.

Étant le point d’entrée privilégié des hackers, les terminaux représentent aujourd’hui le maillon faible de la chaîne du système d’information. Les solutions antivirus classiques ne sont plus adaptées aux nouvelles menaces avec des malwares sophistiqués, évasifs et extrêmement polymorphes. Face à ce constat, un nouveau type de solution dit nouvelle génération prétend pallier les lacunes des bons vieux antivirus.

Un antivirus, une histoire

Les antivirus ont fait leur apparition à la fin des années 80 avec une maturité dans les années 90 principalement à cause des campagnes virales de l’époque.

Le principe consiste à détecter les malwares en identifiant une suite binaire du fichier correspondant à une signature, c’est ce qui est communément appelé le pattern matching. Une approche assez cohérente à l’époque qui, 30 ans plus tard, n’est plus efficace face aux nouvelles menaces et reste toujours utilisé par la plupart des antivirus du marché.

Au-delà des signatures, les antivirus dit classiques proposent d’autres mécanismes de protection tout autant peu efficaces :

Host-based Intrusion Prevention System (HIPS) : Le rôle d’un HIPS est de surveiller l’activité du système et d’identifier des activités suspicieuses des programmes en se basant sur des règles prédéfinies ou présupposées. C’est une autre façon de faire du pattern matching, le HIPS ne détecte que les activités malveillantes supposées. En outre, ce module est réputé pour être très gourmand en ressource avec un taux de faux positif supérieur à la moyenne.

Analyse heuristique : L’analyse consiste à identifier au sein d’un fichier ou d’un programme des caractéristiques de type packers, obfuscation de code ou l’appel à des librairies spécifiques. Une approche basée sur le comportement supposé du programme. Les algorithmes étant propriétaires, les éditeurs affichent une réticence à les partager pour des fins d’amélioration.

Firewall local : Il contrôle et filtre les flux entrants et sortants des programmes, cela permet de blacklister ou whitelister des applications.

Comme le vin, les malwares se bonifient (s’améliore) avec le temps

Les bases de signatures sont un standard parmi les éditeurs d’antivirus pourtant, cette approche a montré ses faiblesses depuis les années 2010 et pour cause, les techniques d’attaques et les malwares ont beaucoup évolué. D’une part, on assiste à une hausse vertigineuse du nombre de malwares et une évolution de leur mode de propagation très agressif et très bruyant. D’autre part, on observe des attaques ciblées et discrètes avec un nombre de ‘sample’ très faible.

Que ce soit l’obfuscation de code qui modifie drastiquement la signature du fichier ou le ‘packing’ et le ‘targeting’ qui conditionnent l’exécution du malware à des environnements spécifiques, ces techniques se sont avérées efficaces pour contourner les environnements de sandbox. 

Les attaques de type fileless passent souvent sous les radars, la construction du malware se fait en mémoire, rien n’est sauvegarder sur le disque. Souvent l’attaque consiste à exploiter une vulnérabilité d’une application légitime pour lancer un script via powershel, présent nativement sur Windows.

Un autre type de menaces consiste à pervertir des applications légitimes en exploitant des vulnérabilités. Le but des techniques d’exploitations est de charger un mini shellcode qui permettra de faire une escalade de privilège et de se connecter à un serveur commande and control pour télécharger in fine le malware.

Les contraintes des entreprises face aux nouvelles menaces

Au delà du caractère sophistiqué des malwares, d’autres facteurs ont favorisé l’émergence de ces menaces.

Les freins du déchiffrement SSL : Ce n’est plus un secret pour personne, plus de 70% du flux internet est chiffré, tout équipement de sécurité en coupure (firewall et proxy) se doit de déchiffrer pour apporter une meilleure visibilité et faire de l’analyse de contenu. Premier obstacle et pas des moindres, le flou juridique autour de ce qui est légitime de déchiffrer et les moyens techniques envisagés pour ne pas entraver la confidentialité et l’intégrité de certains flux. La lourdeur d’exploitation au quotidien et la forte dégradation des performances des équipement qui déchiffrent nécessitent dans la plupart des cas un upgrade hardware conséquent. Ajouté à tout cela la complexité technique des protocoles comme le HPKP, le Certificate Pinning et le Certificate Transparency qui sont de plus en plus adoptés par les applications. Pour de plus amples informations sur ce sujet, je vous recommande notre article sur le bilan et perspectives sur le déchiffrement SSL.

Désillusion des solutions Sandbox : Présenté comme la solution miracle face aux zero days, les sandbox ont fait un flop à cause des techniques d’évasion. Avant de s’exécuter, le malware analyse des éléments comme la résolution de l’écran, le nombre d’icônes sur le bureau, les adresses MAC, la température des processeurs… qui lui permettront d’identifier dans quel environnement il se trouve, physique ou virtuel et par conséquent l’exécution sera  tributaire de l’environnement.

Perte de contrôle de son environnement : L’entreprise est connectée à de multiples environnements, l’administration fiscale, public, partenaire, sous-traitant, cloud…Les risques se multiplient et il est compliqué de maîtriser son environnement.

Les Solutions Nouvelle Génération

Le next generation a le vent en poupe. Un terme marketing qui a marqué la révolution des firewalls L4 et UTM et qui est réutilisé pour annoncer une nouvelle approche pour remédier aux nouvelles menaces.

De façon non exhaustive, voici les différents mécanismes de protection que propose le Next Gen :

Faible empreinte sur le système : Conçu from scratch pour avoir une faible consommation CPU, l’agent ne possède pas ou possède une petite base de signature et analyse la réputation des fichiers en se basant principalement sur le hash.

Réputation des fichiers & Sandboxing : Cela consiste à générer un hash et vérifier sa réputation au sein d’une base centralisée (Threat Intelligence) se trouvant dans le cloud. Si la réputation est méconnue, le fichier est envoyé à une sandbox pour analyse.

Détection des techniques utilisées par les malwares : Le mécanisme consiste à détecter des comportements de malwares de type threads injection; copie de lui-même, remplacement de programme du système, création de clef autorun…

Analyse statique du Machine Learning : Des algorithmes analysent statiquement le contenu des fichiers basés sur des critères issus du machine learning (nom, métadonnées, taille, fichier d’exécution, entropie…). Entraîné dans les laboratoires des éditeurs avec des milliers de fichier bénins et malveillants, en supervisant l’apprentissage, le modèle sera en capacité de détecter les charges malveillantes sans réputation ni exécution des fichiers.

Analyse comportementale : Un moteur de détection déclenché pendant l’exécution des processus en mémoire, il construit un contexte avec les différentes chaînes d’actions effectuées par le processus (création d’un processus fils, modification des clés de registres, ouverture d’une connexion, suppression de fichiers…), ces chaînes sont comparées à des règles de comportement construites à partir de ce qui a été vu auparavant par les outils forensic et par le Threat Intelligence.

Protection contre les attaques fileless : Ce module surveille la création des processus fils et la légitimité d’un processus donné à enfanter une commande line ou un powershell.

Prévention contre les Exploits :  Détection d’un enchaînement de techniques d’exploitations (ROP, Heap Spray, JiT Spray, DEP bypass, SEH Hijacking…) au niveau de la mémoire. Cela permet de bloquer l’altération d’une application légitime en exploitant une vulnérabilité.

Device Control : Fonctionnalité plus au moins basique qui consiste à autoriser ou bloquer les médias amovibles de type usb, en fonction de la classe, le Serial ID, Vendor ID… 

Firewall Control : L’agent se base sur le Windows Filtering Platform pour piloter le firewall windows local, cela permet d’éviter l’installation des drivers supplémentaires et d’avoir un gain en performance.

Remédiation et Visibilité : L’agent remonte les informations nécessaires qui permettent de retracer tout l’historique de la menace, cette visibilité permettra aux analystes de comprendre l’ensemble de la chaîne d’attaque. Les fonctionnalités de remédiation diffèrent d’un éditeur à un autre, elle consiste à faire un kill des processus, mise en quarantaine des fichiers, rollback vers une image précédente de l’OS, ouverture d’un remote shell sur le poste à partir de la console de management.

Zoom sur le marché des protections endpoints

De manière très macroscopique, il est possible de distinguer 4 constellations importantes d’acteurs. Tout d’abord les pure-players next gen dédiés au domaine de la protection endpoint, qui développent de plus en plus des solutions de forensic et de réponse à incident comme SentinelOne et Cylance.  Les éditeurs de solutions antivirales historiques ne sont pas en reste, ils agrémentent leur antivirus de quelques fonctionnalités inspirées du monde NextGen. Les acteurs globaux, ces géants de l’informatique et de la sécurité comme Checkpoint (Sandblast), Palo Alto Networks (Traps), Cisco (AMP)…proposent également des solutions endpoint, principalement issus de rachat de pure-players mais qui ont généralement l’avantage de bien s’intégrer avec leurs solutions classiques. Enfin, les acteurs spécialisés en investigation numérique (Digital Forensics & Incident Response – DFIR), comme Guidance et FireEye et certains d’autres acteurs comme Carbon Black et Crowdstrike qui se sont inspirés de leurs savoir faire et leurs base threat hunting afin de développer des solutions de prévention nouvelle génération.  

Les solutions nouvelles générations semblent combler le vide des antivirus classiques principalement grâce à une approche basée sur l’anti-exploit, le machine learning et des modules comportementaux. Cela suffit-il pour contrer les menaces avancées ? Il est peut être trop tôt pour en faire une conclusion. En revanche, la capacité de détection et la faible empreinte sur les systèmes d’exploitations séduisent les DSI et présage un belle avenir, d’autant plus que les retours clients utilisant ces solutions sont encourageants.