Infiltrer, adapter, répéter : Regard sur le paysage des logiciels malveillants de demain
Et si je vous disais que les attaques de logiciels malveillants diminuent, mais que de nouvelles versions apparaissent ? Selon le Rapport SonicWall 2017 sur les cybermenaces, les attaques de logiciels malveillants sont en baisse par rapport aux chiffres élevés d’il y a trois ans, ce qui représente une réduction globale de 43 % en 2020. Il s’agit apparemment d’une bonne nouvelle, mais SonicWall a toutefois observé une augmentation de 73 % du nombre de nouvelles souches ou de souches modifiées de logiciels malveillants que les protections classiques reposant sur des définitions statiques n’auraient pas pu bloquer.
Au rythme où vont les choses, nous pensons que cette tendance va se poursuivre dans un futur proche. Mais pourquoi observe-t-on ce phénomène ? Et que signifie-t-il ? Je pense que les paysages des menaces sont particulièrement actifs car le jeu compte de nombreux participants et le développement est plus rapide.
De nouveaux participants
Lors de mes recherches pour préparer mon intervention RSA consacrée à la façon dont la jeune génération apprend à pirater, j’ai constaté que l’émission de télévision Mr. Robot comptait de nombreux fans souhaitant tous apprendre à pirater. Ces jeunes gens s’intéressent à ce sujet assez tôt et ont accès à beaucoup plus de ressources que les générations précédentes. Ils peuvent exercer leurs compétences dans de nombreux endroits sécurisés, par exemple au sein de la communauté « Hack the Box », mais au fil du temps ils cherchent à tester leur nouveau savoir-faire sur des entreprises réelles. Les plus responsables vont proposer des tests d’intrusion, tandis que d’autres risquent de se diriger vers le développement de logiciels malveillants et vers des attaques.
Presque tous les nouveaux participants au jeu cherchent à créer quelque chose et à savoir ce qu’ils ont à gagner derrières nos mesures de protection. Presque tous ceux que j’ai interrogés l’année dernière s’intéressent aux ransomwares, ce qui pourrait expliquer pourquoi SonicWall a observé une hausse de 62 % de ce type de logiciel malveillant en 2020. Les souches qu’ils créent deviennent si évoluées que cela me fait peur. Ils idolâtraient des personnages fictifs, et voilà qu’ils deviennent des agresseurs réels. Dans le cas d’Hildacrypt, ils créaient leur propre version de Petya et voilà qu’ils cherchent à créer une souche modélisant la tactique de l’équipe ayant développé le ransomware SamSam.
Un développement plus rapide
D’autres bandes vont se joindre aux agresseurs pour créer des ransomwares et d’autres formes de logiciels malveillants avec différents modules (par ex. chargeurs d’amorçage malveillants, exécuteurs, décodeurs, etc.) et les tester en situation réelle. Après une série d’attaques, ils iront sur VirusTotal pour voir si quelqu’un a identifié leur souche. Si tel est le cas, ils modifieront le code, en veillant à ce que tous les fichiers utilisés aient un hachage différent (le hachage d’un fichier correspond à la façon dont un ordinateur l’identifie). Ils vont également améliorer la performance d’une souche pour la rendre plus efficace.
Ensuite, l’attaque suivante démarre et le cycle se répète. WannaCry par exemple est apparu sous de nombreuses versions différentes au cours des premières semaines des grandes attaques initiales. VirusTotal n’étant pas la solution miracle pour détecter les logiciels malveillants puisqu’il est le plus connu, les attaquants vérifient fréquemment si leurs souches sont enregistrées et il faut donc environ deux à trois jours avant de passer à la suite. Grâce à ces informations, ils élaborent de nouvelles tactiques d’évasion en fonction de la personne qui les a initialement découvertes et travaillent à une rétro-création des versions 2, 3, 4, etc.
Au fil du temps, ces développeurs peuvent passer d’un projet à un autre, apportant dans la nouvelle équipe leur expertise et leur expérience pour développer une nouvelle souche de logiciels malveillants. Lorsqu’ils ont du mal à créer un module eux-mêmes ou à résoudre un problème, ils peuvent se rendre sur une place de marché active et peu onéreuse, avec un service client disponible pour les aider à terminer le travail. Aujourd’hui, il est plus facile de se faire payer par le biais de ransomwares puis de payer pour se faire aider à développer du code grâce aux cryptomonnaies. Ainsi, dans un avenir prévisible, on peut s’attendre à ce que le développement de logiciels malveillants attire davantage, et que de nombreuses nouvelles variantes apparaissent à l’horizon.
Bloquer les logiciels malveillants du futur
L’histoire des menaces évoluées persistantes va bien au-delà des ransomwares. L’autre problème épineux est, depuis toujours, l’exfiltration de données provenant de sources internes à l’entreprise. Pour définir votre budget de sécurité informatique, j’ai toujours dit qu’il fallait vous poser cette question : « Quelle est la valeur de mes données aux yeux d’un attaquant » ? Nous sommes nombreux à excessivement protéger des données peu intéressantes pour un attaquant tout en protégeant moins bien certaines données essentielles parce qu’elles ont moins d’importance pour nous. Les données de nos clients et les données intellectuelles sont deux exemples de données que nous protégeons généralement en priorité.
Pour définir votre approche de mise à niveau de votre protection réseau, nous commençons généralement au niveau du réseau, puis nous examinons les connexions, puis l’endpoint lui-même et enfin son chemin vers le Cloud.
Sans vouloir déjà tout dévoiler, nous commençons généralement par inspecter le trafic entrant sur le réseau. Étant donné que 70 % des sessions sont aujourd’hui chiffrées, nous nous attachons également en détail à l’inspection de ce trafic. Ensuite, nous réfléchissons à la façon d’inspecter les logiciels malveillants inconnus qu’un pare-feu classique de nouvelle génération ne parvient pas à détecter. Les moteurs de sandboxing existent depuis 2011 et leur évolution a permis de rechercher les logiciels malveillants sur plusieurs moteurs, y compris dans la mémoire du système, puisque c’est là que beaucoup d’attaques (comme les attaques sans fichier) tentent de dissimuler la façon dont elles ont infiltré le réseau et restent à l’abri, non détectées par les logiciels de sécurité.
Me croirez-vous si je vous dis que les clients utilisent Capture ATP avec la technologie Real-Time Deep Memory Inspection (RTDMI) pour détecter entre 1 400 et 1 600 nouvelles formes de logiciels malveillants chaque jour ouvré, dont beaucoup sont dotés de nombreuses tactiques d’évasion ?
Présent depuis 30 ans dans le domaine de la sécurité informatique, SonicWall a connu tous les cas de figure. Nous avons muté, passant de fournisseur de pare-feux à plateforme de sécurité. On se souvient que nous avons stoppé WannaCry sur les réseaux de nos clients trois semaines avant que la première attaque majeure ne soit signalée. Nous avons découvert et baptisé plusieurs nouvelles souches au fil de nos recherches et nous continuons à développer de nouvelles technologies et à en améliorer d’autres pour vous aider à découvrir et à bloquer les attaques inconnues, les attaques zero-day et les nouvelles attaques sur votre propre réseau.
APT ou la menace silencieuse
Pour plus d’informations, je vous invite à participer à notre webcast Mindhunter #5 le 16 juin : APT – La menace silencieuse, présenté par notre expert SonicWall en cybersécurité, Laurent Meimoun.