Les méthodes heuristiques et comportementales contre les malwares

1 Malware dans l’email: de très faibles volumétries mais de fortes conséquences

malware-digital-bkgd-shutterstock-510pxL’email est le premier vecteur de malware ou autre malware de tout genre. En effet, il permet de facilement toucher un nombre important d’utilisateurs. Ces malwares peuvent avoir des objectifs différents :

  • Envoyer du spam en masse,
  • effectuer un déni de service,
  • récolter des données confidentielles (Documents tels que brevets ou contrats,
  • cartes bleues, identifiants, numéro de sécurité sociale, etc…),
  • chiffrer le contenu d’une machine dans le but de faire payer le déchiffrement.

Sur un flux email, le malware représente une partie très faible :

  • En effet, seulement 02% des emails transmis dans le monde contiennent des malwares.
  • Sur un environnement entreprise, les malwares sont plus présents. Ils représentent 7% du flux email.

Leur transmission est très saisonnière. Elle peut déprendre de l’actualité (Ex : attaque terroriste, tremblements de terre, tsunamis, etc …) de manière à ce que l’attention de l’utilisateur soit maximale, ou encore d’un besoin de maintien ou d’extension du parc de machines infectées. Le graphique ci-dessous représente la tendance et la fréquence de transmission des malware de Avril à Septembre 2015.

Les principales techniques antimalware utilisées par les grands acteurs spécialisés ne suffisent pas à contrecarrer 100% des attaques. Les techniques de détection antivirales n’étant pas confidentielles, elles sont désormais suffisamment connues par les cybercriminels pour donner lieu à des techniques de contre-mesure pilotées ou entièrement automatisées.

Les malwares prennent des formes bien différentes avec chacun un objectif particulier. Le graphique ci-dessous représente la répartition des types de malware actuellement actifs:

Les entreprises citées ci-dessous font partie des institutions ayant les politiques de sécurité les plus strictes et utilisent les facebook-hackgrands noms du marché de la sécurité informatique. Malgré un focus très fort sur la politique de protection, des attaques parviennent quand même à passer les barrières de sécurité :

 

  • Linkedln – 6 millions de mots de passe volés (Juin 2012)
  • Global Payments – 1.5 millions de numéros de cartes de crédit volés (Mars 2012)
  • State of Utah – 780 000 enregistrements médicaux volés (Mars 2012)
  • Sony – Vol de données du Playstation Network (April 2011)
  • RSA – Vol de propriétés intellectuelles sur SecurlD (March 2011)

Ces événements sont expliqués par le fait que les créateurs de malware se focalisent en priorité sur le passage des produits antimalware les plus utilisés. En effet, les cyber­criminels développent en priorité des malware qui passent au travers des technologies et produits les plus utilisés de manière à atteindre le plus de victimes. Le cybercriminel maximise ainsi son retour sur investissement.

2 Les principales techniques utilisées

Les principales techniques utilisées portent toutes sur l’analyse du contenu du fichier infecté, et éventuellement leur impact sur le système.

Ci-dessous figurent principales technologies utilisées:

Signature de fichiers :

Une forme condensée du fichier est calculée, en général sous le forme d’un hash, plus ou moins agile (MD5, SHAl , SSDEEP). Une base de données centralisée stocke les signatures, et les diffuse directement au niveau des filtres antimalware.

Règles heuristiques sur le contenu du fichier :

Une signature permet de détecter un ou plusieurs malware. Cependant, elle est souvent stricte et facilement contournée par des malware dits polymorphes, c’est à dire qui peuvent produire un nombre infini de hashs pour un même objectif opérationnel. L’objectif des règles heuristiques est de se baser sur le comportement opérationnel du malware pour être moins sensible à ses variations de contenu. Les règles heuristiques permettent ainsi d’identifier des malwares qui n’ont pas encore été vus par les laboratoires d’analyse en identifiant des comportements similaires sur des malware dont le contenu est différent.

Sandboxing:

Le Sandboxing consiste à exécuter dans un environnement virtuel isolé le fichier suspecté. Les techniques de Sandboxing fournissent en général un espace disque, un espace en mémoire vive et un accès réseau contrôlé pour y intercepter les paquets.

Bien que les éditeurs de solutions de sécurités innovent et améliorent leurs systèmes, les cybercriminels restent agiles et s’adaptent aux mises à jours. Dorénavant, les malware cherchent, dans un premier temps les couches de sécurités afin d’adapter leur fonctionnement et aborder des stratégies de contres mesures.

3 Les contres mesures utilisées par les malware

  1. Malware-Removal-Tool-Using-One-Can-Save-You-A-Lot-Of-TroubleMalware mutants : afin d’échapper aux systèmes de signature et aux sys­tèmes heuristiques sur fichier, beaucoup de malware sont dit mutants, c’est à dire qu’ils sont créés à partir de malware existant, mais avec un contenu modifié. De ce fait, les acteurs antimalware doivent repérer cette évolution puis créer une nouvelle signature. Le délai entre la publication du malware mutant et la création de la nouvelle signature permet au créateur du malware de toucher de nouvelles victimes.
  2. Malware polymorphes : ces malware sont capables de changer de forme dynamiquement, à chaque réplication, ce qui empêche un logiciel antimalware de l’identifier par sa signature. Cependant, le fonctionnement opérationnel du malware reste in­changé – les algorithmes sont les mêmes – seule leur traduction en code-machine est modifiée.
  3. Détection d’un environnement virtuel : afin d’échapper au SandBoxing, les malware se dotent de plus en plus de techniques de détection d’environnement virtuel, car ils ne souhaitent être opérationnels que sur des machines physiques. Pour cela, ils détectent les drivers spécifiques aux machines virtuelles ou encore des fichiers qui ne sont présents sur le disque qu’en cas d’utilisation d’un hyperviseur comme Vmware, KVM, Xen, etc …
  4. Attente d’une interaction utilisateur : afin d’échapper également au SandBox­ing, les malware se dotent de morceaux de code qui sont exécutés uniquement si l’utilisateur interagit avec l’environnement comme par exemple le déplacement de la souris, la présence d’un historique de navigation, l’utilisation du clavier, etc.
  5. Code partiellement propre : toujours afin d’échapper au SandBoxing, les malware embarquent du code propre, sans danger pour la machine sur laquelle il est installé. Ce code propre est lancé au début pendant un laps de temps. L’objectif est de paraître inoffensif le temps de l’analyse par un système de SandBoxing. Au delà de ce délai, le malware active son code malicieux.

4 L’approche Heuristique étendue

(vecteur de transport et contenu)

analyse-heuristiqueAfin de ne pas être sensible à toutes les contre-mesures mises en place par les créateurs de malware, les méthodes heuristiques elles, effectuent une analyse entièrement comportementale basée non pas sur le fichier seul, mais sur le moyen de transport ainsi que sur l’ensemble des informations disponibles autour du fichier, en y incluant le fichier lui-même.

Heuristique basée sur le vecteur de transport : dans un contexte de filtrage email, l’analyse heuristique étendue concentre son analyse sur les caractéristiques d’un message. Ces algorithmes peuvent donc être complètement indépendants du contenu et du fonctionnement opérationnel de la pièce jointe. Dans un contexte email, une analyse heuristique permet de se concentrer entre autres sur l’émetteur du message, les entêtes, la structure de son contenu, les caractéristiques des pièces jointes (nom, type…), bref tout un ensemble de données significatives qui peuvent permettre de bloquer un message contenant une pièce attachée malicieuse.

Heuristique basée sur les macros : les macros contenues dans les documents Office sont redevenues un vecteur de propagation de malware et de contamination très utilisé. Les macros se contentent généralement de télécharger et d’exécuter le code véritablement malveillant. Les créateurs de ces scripts s’assurent ainsi de ne pas être identifiés en tant que malware tant que le véritable fichier malware n’est pas téléchargé. Une analyse heuristique sur les macros permet de distinguer au mieux les macros malicieuses des macros saines et ainsi bloquer les messages dangereux avant qu’ils n’atteignent la boîte de réception de l’utilisateur.

Heuristique basée sur l’analyse des fichiers PDF : les fichiers PDF sont aussi un moyen très utilisé pour propager les malwares. En effet, en particulier dans le monde de l’entreprise, un document PDF peut paraître tout à fait légitime. Ainsi l’heuristique orientée PDF est une série de critères détectés au sein des documents PDF, couplés à l’analyse de l’email pour identifier qu’il s’agit d’une communication frauduleuse.

Heuristique étendue : L’analyse heuristique, par définition, peut porter sur l’ensemble des éléments, à la fois l’email, mais également le fichier. Ainsi, les règles heuristiques visent à détecter les points communs entre différentes attaques et s’attaquent au malware par une analyse approfondie, opaque pour le cyber criminel. Elles permettent de désamorcer les techniques polymorphes des malwares visant à contourner les systèmes de signature et de SandBoxing.

5 L’heuristique pour être insensible aux contre-mesures

En étant un expert de l’email depuis plus de 10 ans, protégeant plus de 300 millions de boîtes aux lettres dans le monde entier avec une empreinte unique sur le marché français, Vade Secure est en mesure de coupler une analyse heuristique ciblée sur des types de fichiers couramment utilisés (Document office contenant des macros, document PDF, etc …), avec une analyse également heuristique de l’email contenant le fichier.

Cette double analyse permet d’être complètement indépendant du contenu du fichier malware avec des performances d’exécution très élevées dû au fait que le chargement total du fichier n’est pas requis pour l’analyse.

De manière générale, Vade Secure fournit en complément de son analyse heuristique, une technologie plus classique d’antimalware à base de signatures, qu’il est conseillé d’activer pour une efficacité totalement optimale. L’antimalware par signature est appelé après l’analyse heuristique afin d’optimiser l’utilisation des ressources du système.

 

A propos de Vade Secure

 

Vade Secure est le leader reconnu de la lutte, à base d’une technologie de filtre heuristique, contre les phishing, spear-phishing, malware et ransomware. Indépendant du langage, le filtre analyse individuellement les emails dans leur globalité (méthode d’envoi, liens, pièces jointes, contenu…) pour détecter toutes les menaces, même les attaques très ciblées en zero-day. Vade Secure complète son offre avec des solutions innovantes de gestion du graymail. La classification automatique des emails ainsi que la désinscription en 1 clic permettent aux utilisateurs de gérer leur boite de réception très simplement.

 

Protégeant plus de 300 millions de boîtes aux lettres dans plus de 76 pays, nos solutions sont utilisées par les plus grands FAI, OEM et entreprises. Vade Secure est implanté dans 5 pays (USA, Canada, France, Hong Kong et Japon) pour assurer un support 24/7.

https://www.vadesecure.com/fr/

Au sujet de l'auteur

Lire aussi :