L'avenir des logiciels malveillants et des antivirus devrait être un champ de bataille intéressant. Les logiciels malveillants évoluent constamment, obligeant les développeurs d'antivirus à suivre le rythme. Mais les visions futuristes des systèmes anti-piratage automatisés d'apprentissage automatique sont beaucoup plus proches que vous ne le pensez.
En fait, le futur est là.
Il arrive également juste à temps. Une nouvelle vague de logiciels malveillants sans fichier infecte les institutions gouvernementales, les entreprises et les banques du monde entier. Les logiciels malveillants sans fichier sont essentiellement invisibles. Autrefois la seule compétence des acteurs de la menace des États-nations, elle entre maintenant dans le courant dominant.
Le logiciel malveillant est suffisamment avancé pour que les utilisateurs réguliers comme vous et moi n'aient pas à nous en soucier. Du moins, pour le moment. Néanmoins, il existe une image claire de ce dont la sécurité a besoin dans les années à venir.
Antigena de la société britannique de cybersécurité Darktrace est un outil d'automatisation du système anti-piratage d'apprentissage automatique. En termes simples, c'est un logiciel antivirus qui apprend lorsqu'il est exposé à de nouvelles données. Dans ce cas, Antigena est utilisé pour rechercher des modèles de comportement étranges sur les systèmes d'entreprise. Certaines attaques sont plus faciles à repérer que d'autres.
Antigena a repéré un comportement inhabituel dans une entreprise après que le Royaume-Uni a voté en faveur de la sortie de l'Union européenne. Un employé, mécontent de la stratégie de son employeur sur le Brexit (un portemanteau de la « Grande-Bretagne » et de la « sortie »), a tenté de divulguer des documents confidentiels. Antigena suit la menace, mais automatise également la réponse.
Le système d'apprentissage automatique représente une autre avancée pour Darktrace. Le système apprend véritablement, bien que certaines attaques soient plus faciles à arrêter que d'autres. Par exemple, une attaque de ransomware "ressemble à une bombe qui explose" alors qu'une attaque d'initié est beaucoup plus subtile.
La principale différence est le temps de réponse. Antigena détecte une attaque dans les tout premiers stades de l'infection, empêchant une attaque de ransomware de crypter les fichiers. "Nous commençons à interrompre ces types d'attaques", explique Dave Palmer, directeur de la technologie chez DarkTrace. Au moment où un humain, ou même une suite de sécurité traditionnelle des terminaux, a répondu, il est trop tard.
La solution antivirus d'apprentissage automatique n'est pas inconnue. Les produits antivirus des utilisateurs à domicile utilisent désormais régulièrement l'analyse heuristique. Au lieu de rechercher des signatures de fichiers spécifiques, l'approche heuristique analyse les caractéristiques suspectes et les modèles de comportement. L'objectif principal de l'analyse heuristique est de prévenir une attaque avant qu'elle ne commence, comparable à Antigena.
Les solutions avancées d'apprentissage automatique comme Antigena ne devraient pas arriver sur les ordinateurs personnels avant longtemps. C'est tout simplement trop compliqué et trop puissant. Le principe mathématique et l'analyse avancée de l'environnement sont déjà en train de filtrer, obligeant les fournisseurs d'antivirus domestiques à repenser leurs stratégies de développement.
Cela conduit à une conception de sécurité progressive et automatisée.
Qu'est-ce qui motive la conception d'un antivirus progressif ?
Les logiciels malveillants sans fichier sont un vecteur d'attaque relativement nouveau mais non conventionnel. Une infection par un logiciel malveillant sans fichier n'existe que dans la RAM ou le noyau du système, plutôt que de s'appuyer sur une installation directe sur un disque dur du système. Les logiciels malveillants sans fichier exploitent une gamme de tactiques d'infiltration pour pénétrer un système tout en restant totalement non détectés. Voici un exemple du fonctionnement d'une attaque :
Aucun fichier n'est téléchargé pendant tout le processus. Le niveau de furtivité affiché est impressionnant. Terrifiant, mais impressionnant.
L'attaque sans fichier ne laisse aucune trace, à moins que les attaquants ne soient négligents -- lisez notre section suivante -- ou veulent à vous de trouver le fichier, comme une carte de visite.
De plus, les logiciels malveillants sans fichier accordent une ressource précieuse aux attaquants :le temps. Avec le temps, les attaquants déploient des exploits sophistiqués à plusieurs niveaux contre des cibles de grande valeur.
Vous arrive-t-il de rêver que de l'argent coule du guichet automatique au moment où vous passez devant ? Eh bien, c'est exactement ce qu'a fait une équipe de hackers russes en libérant 800 000 $ d'au moins huit distributeurs automatiques de billets. Cela semble extrêmement simple.
Un homme se dirige vers un guichet automatique. Le guichet automatique distribue une liasse de billets. L'homme s'éloigne, vraisemblablement satisfait de sa nouvelle richesse. Forcer un guichet automatique à distribuer de l'argent à la demande n'est pas une nouvelle astuce. Cependant, le presque la méthode de dématérialisation utilisée est.
Kaspersky Labs a signalé que les attaquants avaient laissé derrière eux un seul fichier journal, donnant aux chercheurs un indice essentiel dans leur enquête.
"Sur la base du contenu du fichier journal, ils ont pu créer une règle YARA - YARA est un outil de recherche de logiciels malveillants ; en gros, ils ont fait une demande de recherche de référentiels de logiciels malveillants publics. Ils l'ont utilisé pour essayer de trouver l'échantillon de logiciel malveillant d'origine, et après une journée, la recherche a donné quelques résultats :une DLL appelée tv.dll, qui à ce moment-là avait été repérée deux fois dans la nature, une fois en Russie et une fois au Kazakhstan. C'était suffisant pour commencer à démêler le nœud."
Les attaquants avaient installé une porte dérobée dans la sécurité de la banque. Ensuite, ils ont installé des logiciels malveillants sur le guichet automatique depuis l'infrastructure de la banque. Le logiciel malveillant ressemble à une mise à jour légitime et ne déclenche aucun avertissement. Les attaquants exécutent une commande à distance qui demande d'abord combien d'argent liquide se trouve dans la machine, suivi d'un déclencheur à distribuer.
L'argent distribue. Le hacker repart plus riche. Dans le même temps, le logiciel malveillant commence l'opération de nettoyage, supprimant tous les exécutables et effaçant toutes les modifications apportées au guichet automatique.
Lorsque des logiciels malveillants sans fichier sont apparus pour la première fois, le système cible s'est exécuté très lentement. Les premiers exemples étaient codés de manière inefficace. En tant que tels, ils étaient plus faciles à repérer car le système cible s'arrêtait. Bien sûr, cela n'a pas duré longtemps et une infection par un logiciel malveillant sans fichier est incroyablement difficile à atténuer. Cependant, ce n'est pas impossible.
Le plus gros point à retenir est de maintenir votre système à jour . Bien sûr, il existe des vulnérabilités zero-day. Mais même s'ils font la une des journaux, ils restent l'exception et non la règle.
Les solutions antivirus d'entreprise réfléchissent déjà à l'avenir des logiciels malveillants. Les progrès réalisés se répercuteront sur les produits grand public qui vous protègent, vous et moi. Malheureusement, ce processus est parfois lent, mais une évolution significative vers un antivirus basé sur le comportement est en cours.
De même, les logiciels malveillants sans fichier font leur chemin dans le courant dominant, mais restent un "outil" spécialisé dans le manuel des pirates. En tant que tels, les logiciels malveillants sans fichier n'ont été utilisés que contre des cibles de grande valeur, mais rassurez-vous, les pirates malveillants veilleront à ce qu'ils se retrouvent sur nos ordinateurs.
Les logiciels malveillants évoluent constamment. Pensez-vous que nos produits antivirus en font assez pour nous protéger ? Ou devrait-il incomber à l'éducation des utilisateurs ? Faites-nous part de vos réflexions ci-dessous !
Crédits image :ktsdesign/Shutterstock