10 Janvier 2023

Détection et analyse de malwares, comment être complémentaire d’un EDR ?

Articles

Depuis des décennies, les cyberattaques sont en constante évolution et démontrent une capacité d’innovation, de recherche et développement de la part des groupes cybercriminels. La sécurité périmétrique, s’appuyant jadis sur le filtrage de flux et le contrôle des utilisateurs, laisse place au triptyque « prévention, détection, remédiation » qui traite de la question de la résilience et de l’après compromission. C’est dans ce paysage que la détection et l’analyse de malware jouent un rôle prépondérant. Qu’elle soit effectuée par une analyse dite par concept-code ou par le biais d’algorithmes d’intelligence artificielle de l’agent EDR, une complémentarité existe dans les approches. Explication.

Les cybercriminels n’ont cessé de développer des techniques d’évasions.

L’histoire a montré que les cyber attaquants ont toujours développé des techniques d’évasions pour exploiter les angles morts des mécanismes de détection. Dès le début des années 2000, les malwares polymorphes ont rendu inopérants les solutions antivirus traditionnelles. En générant des malwares avec une empreinte unique, les pirates informatiques contournent les algorithmes de détection basés sur des catalogues de fichiers préalablement identifiés. Ce bouleversement du marché accélère l’arrivée des antivirus dits « next-gen » (antivirus traditionnels qui se voient augmenter d’une capacité d’analyse heuristique). Une décennie plus tard, en 2013, ces antivirus nouvelle génération seront supplantés par le concept de Endpoint Detection and Response imaginé par un analyste de la société Gartner.

Pour contrer l’analyse basée sur des fichiers, les cybercriminels mettent au point un nouveau type d’attaque : le fileless malware. Ce terme apparaît pour la première fois en juillet 2001 avec le ver Code Red, virus exploitant une faille dans la pile mémoire des serveurs Microsoft IIS. En ne s’exécutant qu’en mémoire, le virus contourne les mécanismes de détection heuristique qui n’analysaient pas jusqu’alors les exécutions dans la mémoire de l’hôte infecté.

Résultat d’une longue série d’amélioration de son mode opératoire, le fileless malware fait émerger en 2013 le concept de Lolbins. Acronyme de Living Off the Land, un Lolbins est un utilitaire système qui a été détourné de sa fonction première par un programme exécuté en mémoire. La plupart du temps, ces utilitaires légitimes sont inscrits dans des listes blanches que les antivirus et EDR n’analysent pas. Ainsi grâce au Lolbins, le fileless malware a la capacité d’effectuer des actions que l’utilitaire effectue légitimement comme la création, la modification d’un fichier ou la connexion à une IP distante sans que les mécanismes de détection ne le remarquent.

Pour répondre à ces problématiques, les solutions de détection s’appuient sur des algorithmes de machine learning. Ces algorithmes se veulent efficaces dans la détection d’attaques traditionnelles mais moins performantes sur des attaques dites avancées. Pour faire face à cette limitation, une réponse technologique existe et s’appuie sur la complémentarité des technologies de détection traditionnelles et des algorithmes de deep learning.

Mais qu’est-ce que le deep learning ? L’apprentissage profond (en français) est une composante du machine learning. Lorsque le machine learning se base sur un mécanisme d’apprentissage supervisé (j’essaie, je me trompe, je recommence), le deep learning s’appuie sur un réseau de neurones artificiels lui permettant d’accéder à des performances d’analyse auxquels le machine learning ne peut accéder. C’est sur la base de cette technologie que l’analyse par conceptualisation du code a été développée.

La conceptualisation du code, un changement de paradigme dans la méthode de détection.

Plutôt que d’analyser le comportement d’un fichier malveillant en action, la conceptualisation du code s’appuie sur l’analyse d’un exécutable compilé et non exécuté. En créant une description et un concept-code, cette analyse permet de mettre en évidence des points communs et d’isoler les fichiers potentiellement malveillants. En s’appuyant sur des milliers d’analyses quotidiennes et une base de données de plusieurs millions de malwares, les modèles d’intelligence artificielle développés par GLIMPS s’améliorent en continu et permettent de réduire drastiquement le temps de traitement en comparaison d’une analyse traditionnelle faite par un EDR. Un mécanisme d’apprentissage vertueux comme le rapporte Frédéric Grelot, cofondateur, scientist lead chez GLIMPS : « Notre plateforme traite en permanence des flux de malwares. Chaque jour, elle ingère plusieurs milliers de fichiers détectés comme malveillants qu’elle intègre à ses bases de connaissances, améliorant au passage sa capacité de détection. Grâce à ce mécanisme, la capacité d’analyse s’améliore quelles que soient les méthodes d’évasion ou d’obfuscation que pourraient utiliser les cybercriminels à leurs payloads ».

Pour être interopérable et s’adapter à tout environnement, le concept-code se veut agnostique. Que le fichier à analyser soit compilé à partir du langage C, C ++, Golang ou Rust, la performance de détection reste la même. Ce gain de performance permet de gagner un temps précieux dans la remontée d’alertes aux analystes et par analogie dans le déclenchement d’une action de réponse à incident. Les analystes sont d’ailleurs les principaux utilisateurs de cette technologie. GLIMPS Malware a été développé comme « un outil qui soit facile d’accès pour pouvoir le mettre dans les mains de n’importe quel analyste. L’analyste avancé va gagner du temps parce qu’il va être plus efficace alors que l’analyste débutant va avoir la possibilité d’utiliser des outils auxquels il n’aurait pas eu accès parce que justement ce sont des outils d’analystes avancés. » Un atout majeur pour les équipes SOC qui restent le plus souvent en sous-effectif comme le souligne Frédéric Grelot : « Aujourd’hui les équipes SOC ont besoin de recruter des analystes à un niveau si important que le marché de l’emploi n’a pas assez de professionnels disponibles et formés pour y répondre. GLIMPS Malware et notre technologie d’analyse par concept-code s’inscrivent dans la résolution de ce problème en améliorant les temps de traitement et d’analyse des malwares. Les analystes n’ont plus qu’à enrichir le résultat obtenu ».

Au-delà de la phase de détection, la conceptualisation du code est également un atout pour les équipes de threat hunting. Le reverse engineering automatique de la plateforme réduit considérablement le temps d’analyse des payloads par une « modélisation automatique des tâches habituellement effectuée ». Plutôt que de passer du temps à réaliser des actions usuelles, l’analyste automatise cette première étape et utilise son temps pour enrichir l’analyse et la catégoriser.

Conceptualisation du code et EDR, une complémentarité essentielle.

C’est dans une démarche de création d’une plateforme de cybersécurité souveraine appelée Open XDR Platform que les éditeurs de cybersécurité HarfangLab et GLIMPS ont démarré une collaboration technologique en 2021. Pour Floriane Alixe, responsable des opérations chez HarfangLab, l’intégration de GLIMPS Malware était une évidence « Avec GLIMPS nous partageons la même volonté d’améliorer l’environnement de travail des analystes. La complémentarité est évidente, notre EDR s’occupe de la détection et de la remédiation et GLIMPS est devenu indispensable pour appréhender correctement le contexte dans lequel les entreprises évoluent », apportant de facto une capacité supplémentaire dans l’arsenal de détection.

L’intégration technique se veut d’ailleurs simple. Dans son utilisation quotidienne, l’EDR HarfangLab enrichit en permanence un puits de données avec l’ensemble des fichiers trouvés sur les actifs à protéger. C’est sur la base de cette télémétrie que la technologie de concept-code et tous les moteurs de détection de GLIMPS scannent l’ensemble des fichiers et détermine s’il y a la présence d’une menace ou d’un fichier dont l’exécution pourrait être utilisée à des fins malveillantes. Si une menace est détectée, une alerte est remontée dans le tableau de bord de l’EDR de manière transparente pour l’utilisateur. Pour Floriane Alixe, « la technologie d’analyse par concept-code permet de consolider l’analyse de ces fichiers de manière automatisée et le tout en back-office ».

La complémentarité entre l’analyse par concept-code et une technologie EDR s’explique également par l’apport d’une amélioration de l’information remontée à l’analyste SOC. Lorsque l’agent EDR inspecte les scripts bash ou powershell et en déduit le comportement de ces fichiers, l’analyse par concept-code le complète en apportant du contexte et des compléments d’informations. Ce gain de renseignement permet ainsi d’affiner la prise de décision de l’analyste qui fait face le plus souvent à des remontées de signaux faibles.

En conclusion

L’analyse par concept-code apporte de nombreux atouts à la détection traditionnelle d’un EDR. Gain de temps et précision dans l’analyse, aide à la décision pour l’analyste. Cette complémentarité technologique s’adapte à tout type d’environnement serveurs et postes de travail. Que vous soyez analyste SOC ou RSSI/CISO, n’hésitez pas à nous contacter pour découvrir.