Les APT (Advanced Persistent Threats) sont des menaces réputées subtiles, intelligentes et dangereuses. Des protections standards utilisant la reconnaissance par signatures ne sont plus suffisantes. Des techniques comme le sandboxing sont alors nécessaires.
3. EXEMPLE DE LA VIE COURANTE
Le piratage de RSA toucha aussi Lockheed,
système distant piraté
– PC Mag (Mar, 2011)
e-card arrive avec une pièce jointe
contenant un trojan
– CNET (Feb, 2013)
4. Les attaques ciblées commencent
avec une faille zero-day
“Le ver Duqu causa des dommages collatéraux
dans une Cyber Guerre silencieuse”
Le ver exploite une vulnérabilité zero-day dans un document Word
6. CAS CONCRET : STUXNET
•
Stuxnet se démarque de tous les autres malwares :
4 failles Windows exploitées dont 3 Zero-Day
Plusieurs langages de programmation utilisés
Chiffrement de code
Mécanisme de mise à jour via site de contrôle ou P2P
7. EVOLUTION DES MENACES
•
•
Plusieurs moyens pour contrer les solutions d’anti-virus :
Obscurcissement du code
Chiffrement du code
Conséquence :
Développement d’un nouveau moyen de détection du
comportement des logiciels malveillants
Le Sandboxing
9. INSPECTER
Coupler le mécanisme au firewall
Envoi des pièces jointes et fichiers
téléchargés vers une plateforme de
sandboxing
Exe files, PDF and
Office documents
10. EMULER
•
•
Emulation des fichiers dans des
environnements Multi-OS
Analyse du comportement :
Modifications de fichiers, bases de registres &
processus systèmes
Ouverture de connexions réseaux
Monitoring de comportements « suspect »
11. PROTEGER
En cas de découverte d’un malware, on
bloque la récupération du fichier par
l’utilisateur sur le firewall
Security Gateway
14. DIFFÉRENCES AVEC LES SOLUTIONS ACTUELLES
IPS
Bloque les attaques
connues (signatures)
Antivirus
Bloque le
téléchargement de
malware
Anti-Bot
Détecte et évite les
dommages des bots
15. UNE SOLUTION PARFAITE ?
•
•
•
-
Déjà des failles …
Les malwares détectent s’ils sont exécutés dans un
système virtuel ou un environnement émulé pour arrêter
de fonctionner et ainsi ne pas divulguer d’informations.
Les hackers ont aussi développé des solutions de
contournement du sandboxing :
Stalling code : exécution d’une activité pour paraître
«normal» et exécution de l’attaque
16. CONCLUSION
Evolution des techniques d’attaque en permanence,
Pas de solution miracle pour contrer toutes les attaques …
… mais le sandboxing est un bon complément pour lutter contre
les menaces avancées, en complément aux solutions
traditionnelles