LE NOUVEAU CHAMP DE BATAILLE : LES ATTAQUES DE TYPE «ZERO DAY»

GUIDE PRATIQUE POUR COMBATTRE LES MALWARES AVANCES Ce que toutes les Entreprises devraient savoir à propos des menaces de nouvelle génération ciblant les réseaux PUBLICATION : SEPTEMBRE 2014

LE NOUVEAU CHAMP DE BATAILLE : LES ATTAQUES DE TYPE «ZERO DAY» Dans le domaine biomédical, les chercheurs et les médecins ont compris depuis longtemps que les microbes et les bactéries évoluaient au fil du temps et devenaient progressivement plus résistants aux antibiotiques. Ils doivent donc régulièrement développer de nouveaux remèdes, plus forts, pour conserver leur potentiel de lutte. Il en va de même dans le monde de la sécurité des informations, de nouveaux types de malwares sont apparus, plus avancés et plus résistants face aux défenses conventionnelles. Les attaquants ont su évoluer au fil du temps et sont devenus plus intelligents. Dans cet ebook, nous allons vous expliquer comment cela est arrivé et, plus important encore, comment réagir. 2

CORRECTIFS, SIGNATURES ET AUTRES DES DEFENSES QUI NE VONT PAS ASSEZ LOIN En 2003, le ver «SQL Slammer» a paralysé durant plusieurs heures le trafic Internet dans de nombreuses régions du monde. i Ce ver tristement célèbre ciblait une vulnérabilité connue des bases de données Microsoft SQL, pour laquelle un correctif était disponible depuis six mois. Sa petite taille ainsi que sa capacité à se dupliquer lui-même rapidement et à rechercher de façon aléatoire de nouvelles cibles à infecter ont largement contribué à son succès et à sa prolifération. Au cours des années suivantes, plusieurs fournisseurs informatiques ont su répondre à de telles menaces. Chaque mois, Microsoft publie une série de mises à jour destinées à éliminer les vulnérabilités découvertes dans ses logiciels. Adobe fait de même et publie des hotfixes de sécurité dans le cadre du même «Patch Tuesday.» Cisco fournit également chaque trimestre un large éventail de hotfixes liés à la sécurité. Les administrateurs informatiques sont encouragés à corriger leurs systèmes fréquemment afin de demeurer à jour. D autres mécanismes de défense intègrent des systèmes de prévention d intrusion (ou IPS) qui s appuient sur l inspection détaillée des paquets pour détecter les schémas connus d exploitations de vulnérabilités. Les systèmes antivirus bloquent les malwares et les mettent en quarantaine. Diverses réglementations comme PCI DSS obligent les entreprises à maintenir leur logiciel antivirus à jour des toutes dernières signatures. Les solutions de gestion centralisée permettent de s assurer que tous les utilisateurs exécutent bien les solutions antivirus les plus récentes sur leur poste de travail ou leur ordinateur portable, et même désormais sur leur périphérique mobile Android. Mais ça ne suffit pas. 3

QU EST-CE QU UNE MENACE PERSISTANTE AVANCEE? Pour bien comprendre pourquoi les technologies actuelles ne suffisent plus pour protéger les réseaux modernes, nous devons tout d abord comprendre ce qui est différent avec les menaces persistantes avancées (ou APT). Les malwares modernes utilisent différentes techniques avancées (canaux de communication chiffrés, rootkits de noyau, capacités d évasion sophistiquées, etc.) pour franchir les défenses du réseau. Pire, ils s appuient souvent sur les vulnérabilités immédiates de type «zero day», c est-à-dire les failles pour lesquelles aucun correctif n est encore disponible et aucune signature n a été publiée. En 2012, l équipe WatchGuard LiveSecurity a signalé quatre vulnérabilités de type «zero day» qui étaient exploitées en toute liberté. En 2013, nous avons publié des alertes pour treize menaces «zero day», qui étaient exploitées à grande échelle. ii Le malware moderne est souvent persistant et conçu pour durer. Il est furtif et masque soigneusement ses communications, il «vit» au sein du réseau de sa victime aussi longtemps que possible et efface souvent toute trace derrière lui (supprimant les journaux, s appuyant sur un chiffrement fort, adressant uniquement des comptes-rendus à son contrôleur sous forme de petites salves masquées de communication). De nombreuses attaques se présentent désormais sous la forme d une association de différentes techniques. Différents groupes de pirates informatiques hautement compétents, motivés et soutenus financièrement constituent une menace réelle et significative, car ils ont des cibles et des objectifs très précis, souvent un gain financier provenant du vol de données de cartes de crédit ou d autres informations confidentielles précieuses. 4

LES CARACTERISTIQUES D UNE MENACE PERSISTANTE AVANCEE Ciblée La cible peut être une entreprise, un pays ou même une technologie bien précise. L infiltration n est pas accidentelle. Avancée Attaque inconnue de type «zero-day» transportant des charges de malwares, s appuyant sur des rootkits de noyau et des technologies d évasion et de détection. Persistante Elle ne cesse pas d elle-même. Elle poursuit son action (hameçonnage, plugging, probing) jusqu à ce qu elle trouve une faille pour délivrer le malware. 5

Janvier 2010 Operation Aurora Cible : Google Résultat : vol de code source L EVOLUTION DES MENACES PERSISTANTES AVANCEES Juin 2010 Mars 2011 Stuxnet Cible : Iran Résultat : Fonctionnement d une centrale nucléaire perturbé RSA/Lockheed Cible : RSA et Lockheed Martin Résultat : Vol de SecureID TECHNIQUES EMPLOYEES JUSQU ALORS PAR LES ETATS DESORMAIS UTILISEES A DES FINS DE GAIN FINANCIER Les conséquences de ces violations sont significatives quelle que soit l entreprise touchée. Forbes indique ainsi que les bénéfices de Target, l une des principales enseignes de distribution américaines, ont chuté de presque 50% au cours du dernier trimestre 2013, iii principalement du fait de la publicité négative faite autour de la violation massive de données dont elle a été victime pendant les fêtes de fin d année 2013. Le cours de l action a baissé de 9%. Le directeur informatique a été licencié et 5 à -10% des clients de Target ont indiqué qu ils ne feraient plus jamais d achats auprès de cette enseigne. iv Dans les mois qui ont suivi la violation de Target, d autres grands noms de la distribution ont signalé des épisodes de perte de données. Fin juillet 2014, le département de la sécurité intérieure américain a averti que le malware Backoff Point-of-Sale et ses variantes avait compromis plus de 1.000 réseaux. Il encourageait alors vivement les entreprises à rechercher la présence de Backoff dans leurs réseaux. v Septembre 2011 Mai 2012 Janvier 2013 Octobre 2013 Décembre 2013 Septembre 2014 Duqu Cible : Iran, Soudan, Syrie et Cuba Résultat : Vol de certifications numériques Flame Cible : Pays du Moyen-Orient Résultat : Recueil et exfiltration de données New York Times Cible : NY Times Résultat : Vol de données et de mots de passe d entreprise Adobe Breach Cible : Adobe Résultat : Vol de données et d informations clients Target Breach Cible : Cible Résultat : Vol de données cartes de crédit clients Home Depot Breach Cible : Home Depot Résultat : Vol de données cartes de crédit clients 6

LES ANTIVIRUS NE SUFFISENT PLUS La lutte contre les programmes malveillants est une véritable course à l armement. Dès que les défenseurs introduisent de nouvelles techniques de détection, les assaillants tentent de trouver de nouvelles façons de les contourner. Les fournisseurs d antivirus traditionnels emploient des ingénieurs et des concepteurs de signature qui analysent les fichiers. Ils contrôlent l exécution des programmes inconnus au sein d environnements dotés d instruments spécialisés. Ils peuvent également soumettre des fichiers à des outils comme Anubis, qui exécute le fichier puis signale toute activité suspecte ou comportement révélant la présence d un virus. Mais concevoir des signatures est peine perdue, car il y a 88% de chances que le nouveau malware ait été créé sous forme de variante d un malware existant afin d échapper à la détection par les techniques classiques. Lastline Labs a publié une étude basée sur les centaines de milliers de composants de malwares détectés durant un an, entre mai 2013 et mai 2014. Chaque échantillon de malware a été testé sur les solutions des 47 éditeurs d antivirus répertoriés par VirusTotal, un site indépendant répertoriant et comparant les différentes solutions antivirus du marché. Le but était de déterminer l efficacité de chaque antivirus, de définir quels étaient les moteurs capables d intercepter les échantillons de malware et de calculer leur rapidité à détecter les nouveaux malwares. Les résultats ont été stupéfiants. 7

Au jour 0, seulement 51% des scanners antivirus ont détecté les échantillons de nouveaux malwares. Au bout de 2 semaines, on constate une augmentation notable des taux de détection (jusqu à 61%), qui semble indiquer un délai de réaction commun pour de nombreux éditeurs d antivirus. Les malwares correspondant à la catégorie des 1% «les moins susceptibles d être détectés» (courbe rouge) sont demeurés non détectés par la majorité des scanners antivirus durant des mois et n ont même dans certains cas jamais été détectés. 8

LES DEFENSES EVOLUENT ETAPE 1 : AU-DELA DU BAC A SABLE Aujourd hui, les solutions d isolation (le sandboxing) sont automatiquement intégrées au processus de détection. Le code est exécuté et analysé de façon dynamique au sein du «bac à sable» isolé, sans aucune vérification humaine. Mais les créateurs de malwares utilisent désormais des techniques d évitement pour s assurer que leurs programmes ne révèleront aucune activité malveillante lors de leur exécution au sein de tels environnements d analyse automatique. Quelques techniques courantes utilisées par les malwares : Les fournisseurs de solutions de sécurité ont alors réagi en ajoutant leurs propres contre-mesures à leurs systèmes. Ils vérifient maintenant les demandes de clés connues et obligent les programmes analysés à se réveiller s ils sont mis en sommeil. Mais cette approche n est toujours que réactive. Les systèmes d analyse de malwares doivent être mis à jour manuellement pour pouvoir contrer toute nouvelle astuce évasive. Les concepteurs de malwares qui créent des mesures évasives de type «zero day» peuvent ainsi éviter toute détection tant que le bac à sable n est pas mis à jour. Vérification de la présence d une machine virtuelle Demande de clés de registre Windows connues révélant la présence d un bac à sable déterminé Mise en sommeil, jusqu à ce que la durée maximale de l analyse soit atteinte 9

LES LIMITES DES BACS A SABLE BASES SUR LA VIRTUALISATION Les déploiements de sandboxing les plus courants aujourd hui s appuient en général sur un environnement virtuel contenant le système d exploitation invité. Parfois, un bac à sable exécute directement le système d exploitation sur une machine physique. Le principal problème (et la limite fondamentale) des bacs à sable modernes basés sur la virtualisation est son manque de visibilité et de compréhension vis-à-vis de l exécution d un programme malveillant. Le bac à sable doit pouvoir observer au maximum le comportement du malware, mais il doit le faire d une manière qui le masque à ce même malware. Si le malware peut détecter la présence d un bac à sable, il modifiera en conséquence son comportement. Par exemple, au lieu de se mettre simplement en sommeil, les programmes sophistiqués effectuent des tâches de traitement (inutiles) qui donne l apparence d une activité. De fait, le bac à sable n a aucun moyen de réveiller le programme. Celui-ci s exécute tout simplement et du côté du système d analyse de malwares, tout semble normal. La plupart des malwares s exécutent en mode utilisateur (utilisateur normal ou administrateur). Les bacs à sable basés sur la virtualisation recherchent les appels API Windows et les appels de système émanant des programmes en mode utilisateur. Les appels de système ou les appels de fonction saisissent toutes les interactions entre un programme et son environnement (par exemple, lorsque les fichiers sont lus, les clés de registre sont écrites, le trafic réseau est produit). Mais le bac à sable est aveugle pour tout ce qui se passe entre les appels de système. Les créateurs de malwares peuvent donc cibler cette zone d ombre. Dans notre exemple précédent, le code malveillant est celui qui s exécute entre les appels de système. 10

ETAPE 2 : EMULATION DE SYSTEME COMPLETE Une approche plus astucieuse est donc indispensable. Un émulateur est un programme logiciel qui simule la fonctionnalité d un autre programme ou d un composant matériel. Comme l émulateur exécute ses fonctionnalités sous forme logicielle, il offre une grande flexibilité d emploi. L émulation du système d exploitation fournit un haut degré de visibilité sur le comportement des malwares. Mais les émulateurs de niveau système d exploitation ne peuvent pas dupliquer tous les appels d un système d exploitation. Ils se focalisent en général sur un sous-ensemble courant de fonctionnalités. Malheureusement, cette approche est la plus facilement détectée et contournée par les malwares avancés. L émulation de système complète, qui impose à l émulateur de simuler le matériel physique (y compris les processeurs et la mémoire), garantit le niveau le plus poussé de visibilité sur le comportement des malwares et constitue pour les malwares avancés la solution la plus difficile à détecter. 11

WATCHGUARD APT BLOCKER TYPES DE FICHIERS ANALYSES PAR APT BLOCKER : APT Blocker, un nouveau service disponible sur toutes les appliances WatchGuard UTM et NGFW, utilise l émulation de système complète (processeurs et mémoire) afin de fournir un aperçu détaillé de l exécution d un programme malveillant. Après une première exécution via les autres services de sécurité, les fichiers voient leur empreinte relevée, puis sont comparés à la base de données existante, dans un premier temps sur l appliance, puis dans le cloud. Si le fichier n a jamais été vu auparavant, il est analysé à l aide de l émulateur de système, qui contrôle l exécution de toutes les instructions. L émulateur peut détecter les techniques d évitement que les autres bacs à sable ne voient pas. vi Lorsqu un malware est détecté, il peut être immédiatement bloqué au niveau du pare-feu. Parfois, un fichier de type «zero day» peut passer au travers pendant que l analyse s effectue au sein du cloud. Dans ce cas, le système WatchGuard peut fournir des alertes immédiates pour prévenir qu un morceau de code suspect est sur le réseau, afin que l équipe informatique puisse instantanément assurer son suivi. Tous les fichiers exécutables Windows Adobe PDF Microsoft Office Fichiers Android Application Installer (.apk) Les fichiers compressés de type Windows.zip sont décompressés LASTLINE TECHNOLOGY WatchGuard a choisi un partenaire réputé pour le développement de son service APT Blocker. Lastline Technology a été fondé par l équipe technique à l origine de la création d Anubis, l outil utilisé par les chercheurs en sécurité du monde entier depuis ces huit dernières années pour analyser les fichiers potentiellement infectés. vii 12

DIFFICULTES LIEES AUX TECHNIQUES DE DETECTION ET D EVASION DES MALWARES L émulation de système complète offre le niveau le plus poussé de détection des malwares DIFFICULTE D EVASION VIRTUALISATION (VM) bac à sable traditionnel CONNEXIONS MODE UTILISATEUR EMULATION DE SYSTEME COMPLETE CPU, memory EMULATION DE SE VISIBILITE SUR LE COMPORTEMENT DU MALWARE 13

COMPTE-RENDU APT REVELANT UNE ACTIVITE MALVEILLANTE ETAPE 3 : VISIBILITE WatchGuard Dimension comprend également un journal d activité APT figurant dans les tableaux de bord de sécurité, et fournit des comptes-rendus détaillés basés sur les informations fournies par tous les autres services de sécurité. L activité APT figure dans le compte-rendu de synthèse générale. L administrateur a le choix entre dix comptes-rendus prédéfinis distincts. Les deux lignes «évitement» (Evasion) montrent que la solution a été capable de détecter une activité malveillante qui aurait pu tromper d autres solutions de type sandboxing. 14

LES ACTIVITES D APT BLOCKER VUES PAR WATCHGUARD DIMENSION 15

ETAPE 4 : UNE INFORMATION UTILISABLE Détecter les malwares ne suffit pas. Le personnel informatique doit bénéficier d une information claire et immédiatement utilisable qui ne soit pas noyée dans un océan de données fournies par les journaux. Les directions informatiques ont la responsabilité du bon fonctionnement de l entreprise et doivent contribuer à optimiser ses résultats financiers. Malgré l impact énorme que les incidents de sécurité peuvent avoir sur les entreprises, bon nombre de directions informatiques regardent d un œil suspect les alertes de sécurité. Neiman Marcus avait reçu plus de 60 000 rapports d incidents montrant la présence d un malware sur son réseau. viii Dans les deux jours suivant sa première violation de données, Target disposait de fichiers journaux indiquant qu il y avait un problème, mais ils ont été ignorés. ix Toute solution de protection contre les malwares avancés doit disposer des fonctionnalités suivantes : Alertes par email lorsqu un fichier dangereux est détecté WATCHGUARD APT BLOCKER La solution WatchGuard APT Blocker répond à toutes les exigences de visibilité grâce à ses alertes par email, son analyse de journaux en temps réel et sa capacité à creuser plus avant pour découvrir plus d informations. Le service est totalement intégré à WatchGuard Dimension, la solution primée de visibilité et d informations de sécurité x incluse gratuitement dans toutes les solutions WatchGuard UTM et NGFW. Il fournit bien plus qu une simple alerte indiquant qu un fichier est suspect. Il fournit un compte-rendu détaillé de toute l activité malveillante pour chaque fichier répertorié comme malware. Publication de journaux et de comptes-rendus étroitement intégrés aux autres fonctionnalités de sécurité sur le réseau Indication claire de la raison pour laquelle un fichier donné a été classé comme malware, afin de lever tout doute et d éviter le classement en faux-positif 16

MAINTENEZ VOS DONNEES EN SECURITE GRÂCE A LA DETECTION DE MALWARES AVANCES Les menaces ont évolué. Les pirates informatiques utilisent aujourd hui les techniques avancées qui étaient utilisées jusqu alors pour attaquer un pays. Les solutions de sécurité doivent donc évoluer pour conserver une longueur d avance sur ces menaces et continuer à protéger efficacement votre réseau. La détection de malware basée sur la signature ne suffit plus. Les antivirus et les services de prévention des intrusions demeurent un composant nécessaire de tout système de défense, mais ils doivent désormais être complétés par de nouvelles fonctionnalités de détection avancées dotées de quatre caractéristiques essentielles. 1. Isolation (sandboxing) dans le cloud avec émulation de système complète, avec possibilité d analyser de nombreux types de fichiers. 2. Capacité à aller au-delà du simple bac à sable tafin de détecter différentes formes d évitement avancé. 3. Visibilité via des alertes claires mentionnant tous les malwares détectés et la raison pour laquelle chaque fichier concerné a été considéré comme malveillant. 4. Capacité à agir de façon proactive et à bloquer les mauvais fichiers. WatchGuard APT Blocker va bien au-delà de la simple détection antivirus basée sur la signature, en s appuyant sur une isolation cloud avec émulation de système complète pour détecter et bloquer les malwares avancés et les attaques de type «zero day». Pour en savoir plus sur WatchGuard APT Blocker et les autres services de sécurité haut de gamme délivrés par WatchGuard sur ses plateformes UTM et NGFW, consultez www.watchguard.com/apt. 17

ADDRESSE : WatchGuard France La Grande Arche 92044 Paris La Défense WEB : www.watchguard.fr SERVICE COMMERCIAL : 01 40 90 30 35 A PROPOS DE WATCHGUARD WatchGuard Technologies, Inc. est l un des principaux fournisseurs mondiaux de solutions de sécurité d entreprise multifonctions et intégrées qui associent intelligemment du matériel standard, des fonctions de sécurité optimales et des outils de gestion basés sur la définition de stratégies. WatchGuard fournit à des centaines de milliers d entreprises dans le monde des solutions de protection puissantes et simples d emploi. Les produits WatchGuard sont couverts par le programme d assistance innovant WatchGuard LiveSecurity Service. Le siège social de WatchGuard se situe à Seattle (Washington, USA) et de nombreux bureaux sont installés dans toute l Amérique du Nord, l Europe, la région Asie-Pacifique et l Amérique latine. Pour en savoir plus, consultez le site WatchGuard.com. Ce document ne contient aucune garantie expresse ou tacite. Toutes les caractéristiques mentionnées peuvent être modifiées et tout futur produit ou toute future fonctionnalité sera fourni(e) dans la mesure où il ou elle sera disponible. 2014 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo WatchGuard et WatchGuard Dimension sont des marques commerciales ou des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et/ou dans d autres pays. Toutes les autres marques commerciales et marques déposées appartiennent à leurs propriétaires respectifs. END NOTES i ii iii iv v vi vii http://en.wikipedia.org/wiki/sql_slammer http://watchguardsecuritycenter.com http://www.forbes.com/sites/maggiemcgrath/2014/02/26/target-profit-falls-46-on-credit-card-breach-and-says-the-hits-could-keep-on-coming/ http://www.usatoday.com/story/money/business/2014/03/11/target-customer-traffic/6262059/ http://bits.blogs.nytimes.com/2014/08/22/secret-service-warns-1000-businesses-on-hack-that-affected-target/?_php=true&_type=blogs&_r=0] http://info.lastline.com/blog/next-generation-sandbox-offers-comprehensive-detection-of-advanced-malware http://info.lastline.com/blog/different-sandboxing-techniques-to-detect-advanced-malware viii http://www.businessweek.com/articles/2014-02-21/neiman-marcus-hackers-set-off-60-000-alerts-while-bagging-credit-card-data ix x http://www.businessweek.com/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-credit-card-data#p1 http://www.watchguard.com/news/press-releases/network-computing-awards-names-watchguard-dimension-best-new-product-of-the-year.asp 18