Technologies de protection contre les malwares STAR

STAR (Security Technology and Response) est le département Symantec responsable de l'innovation et du développement de nos technologies de sécurité, qui couvrent la protection au niveau de cinq aspects : fichier, réseau, comportement, réputation et remédiation.

Présentation

Le service STAR (Security Technology and Response) de Symantec est responsable de l'innovation et du développement de nos technologies de sécurité, qui assurent la protection dans cinq domaines : fichiers, réseaux, comportements, réputation et remédiation.

Au sein de Symantec, le service STAR (Security Technology and Response) supervise les efforts de recherche et de développement de toutes nos technologies de sécurité anti malware. Ces technologies sont au cœur des capacités de protection des produits de sécurité grand public et internes de Symantec.

La division STAR (Security Technology and Response), qui inclut Security Response, est une équipe internationale d'ingénieurs de la sécurité, d'analystes des menaces et de chercheurs qui fournit le contenu fonctionnel sous-jacent et le support nécessaires pour tous les produits de sécurité grand public et internes de Symantec. Avec des centres Response répartis à travers le monde, STAR surveille les rapports de code malveillant issus de plus de 130 millions de systèmes sur Internet, reçoit les données de 240 000 capteurs de réseau situés dans plus de 200 pays et suit plus de 25 000 vulnérabilités affectant plus de 55 000 technologies issues de plus de 8 000 fournisseurs. L'équipe exploite ces vastes données pour développer et fournir la solution de protection de la sécurité la plus complète au monde. STAR emploie environ 550 personnes.

Il y a quelques années, les technologies antivirus traditionnelles suffisaient entièrement à protéger un terminal client face à une attaque. Toutefois, suite au changement radical survenu dans l'environnement des menaces au cours des quelques années passées, il n'est plus possible de penser que ces technologies seules suffisent. Prenant cette situation en compte, STAR a développé un écosystème collaboratif de technologies de sécurité protégeant les utilisateurs de Symantec contre les attaques malveillantes.

Principaux vecteurs contre lesquels ces technologies offrent une protection :

  • Drive-by downloads (téléchargements non sollicités) et attaques Web
  • Attaques par ingénierie sociale – FakeAV et codecs factices
  • Bots et réseaux de bots
  • Menaces injectées non basées sur les processus (NPT)
  • Attaques ciblées, y compris APT (Advanced Persistent Threat), chevaux de Troie et menaces Zero-day de malware générales
  • Malwares résultant de drive-by downloads ayant contourné les autres niveaux de protection
  • Malwares utilisant des techniques de rootkit pour se cacher

Cet écosystème se compose des cinq aspects suivants opérant en collaboration :

  • La protection basée sur les fichiers joue encore un rôle majeur en termes de protection, suite à de nouvelles innovations dans l'heuristique de fichier statique.
  • La protection basée sur le réseau peut détecter à quels moments des vulnérabilités connues comme inconnues sont utilisées pour pénétrer dans le système d'un utilisateur.
  • La protection basée sur le comportement examine le comportement dynamique de l'activité malveillante et non pas les caractéristiques statiques.
  • La protection basée sur la réputation examine les métadonnées d'un fichier – son âge, son origine, son mode de déplacement, l'emplacement où il se trouve, etc.
  • La remédiation constitue un ensemble de technologies pouvant permettre de purger un système infecté.

À travers la collaboration, chaque technologie est en mesure d'opérer plus efficacement afin de déterminer si une situation donnée est de nature malveillante ou non. À mesure que chaque technologie découvre différents attributs d'un processus ou d'un fichier, elle communique ce qu'elle apprend aux autres technologies. Par exemple, les technologies de protection basée sur le réseau sont en mesure de remonter à l'origine des fichiers Web téléchargés et transmettent cette information aux autres technologies.

Les onglets suivants fournissent plus de détails sur chaque type de technologie.

Protection basée sur les fichiers

On a tendance à penser, à tort, que les analyseurs de fichier antivirus recherchent simplement des schémas connus dans un fichier pour déterminer si ce fichier est sain ou nuisible. En réalité, les solutions antivirus actuelles ne se contentent pas de rechercher des schémas correspondants ; elles appliquent des techniques génériques et heuristiques pour repérer les menaces. En fait, les meilleurs moteurs antivirus fournissent de multiples méthodes pour identifier les menaces connues et inconnues. La protection basée sur les fichiers de Symantec constitue l'une de ces technologies.

La sécurité basée sur les fichiers est depuis longtemps une pièce maîtresse au sein de nos technologies de protection. STAR constitue à investir dans notre sécurité basée sur les fichiers et à y stimuler l'innovation pour rester en phase avec les derniers développement survenus dans l'environnement des menaces. Disposer de fichiers infectés sur une machine cible est l'une des méthodes principales permettant aux menaces de maintenir une présence sur une machine au-delà de l'attaque initiale. De ce fait, la protection basée sur les fichiers sera toujours essentielle pour détecter, neutraliser et éliminer les menaces pesant sur les machines de nos clients. Les vecteurs de menaces courants contre lesquels la technologie basée sur les fichiers offre une protection incluent :

  • Malware et virus
  • Attaques ciblées, y compris APT (Advanced Persistent Threat), chevaux de Troie et menaces de malware générales
  • Attaques par ingénierie sociale – FakeAV et codecs factices
  • Bots et réseaux de bots
  • Rootkits
  • Fichiers PDF malveillants et documents Microsoft Office (PowerPoint, Excel et Word)
  • Fichiers compressés malveillants
  • Spywares et adwares
  • Enregistreurs de frappe

Pour traiter ces menaces, quatre composants constituent le pilier de notre technologie de protection basée sur les fichiers : le moteur antivirus, Auto Protect, le moteur ERASER et nos technologies heuristiques, Malheur et Bloodhound.

Moteur antivirus

Le moteur d'analyse unique de Symantec est largement déployé sur plus de 350 millions de machines. Il constitue une technologie de sécurité stable et hautes performances qui offre une détection avancée face aux dernières menaces. Le moteur est fréquemment mis à jour sur le terrain via LiveUpdate afin de répondre sans heurts aux nouvelles menaces. Ceci nous permet de mettre à jour la fonctionnalité de détection de notre produit sans qu'une mise à jour de produit complète ne soit nécessaire.

Auto Protect

L'analyseur de fichier en temps réel de Symantec détecte les menaces en cours d'écritures sur ou depuis un système de fichiers. Écrit au niveau du noyau, Auto Protect est un moteur d'analyse hautes performances à empreinte réduite qui protège contre les dernières menaces sans interférer avec les tâches effectuées par l'utilisateur. Lorsque des fichiers sont écrits sur une machine, Auto Protect est déclenché et utilise les moteurs Malheur et Bloodhound antivirus pour analyser ces fichiers. En s'exécutant à un niveau si bas, Auto Protect peut bloquer un fichier infecté avant qu'il n'ait la possibilité de s'exécuter et d'infecter le système. Outre la protection de fichier, Auto Protect fournit une fonctionnalité clé pour « Diagnostic des téléchargements », qui fait partie de nos technologies de réputation d'analyse avancée.

Moteur ERASER

Le moteur ERASER de Symantec fournit des fonctionnalités de réparation et de suppression pour les menaces détectées sur le système d'un client par nos diverses technologies de détection. ERASER est également chargé de vérifier que les pilotes et les applications s'exécutant au démarrage ne sont pas des éléments malveillants. Pour s'assurer que notre produit n'est pas trompé par des rootkits ou autres malwares, ERASER utilise plusieurs techniques qui contournent les consultations standard du disque et du registre système. Ces technologies permettent à ERASER d'accéder directement au registre et au disque.

Malheur & Bloodhound

Outre les détections basées sur la signature, nous fournissons des technologies pouvant confondre un fichier n'ayant jamais été remarqué auparavant mais présentant des caractéristiques identiques à celles des fichiers malveillants. Cette protection basée sur l'heuristique est fournie dans nos technologies Malheur & Bloodhound. Les signatures heuristiques peuvent détecter des malwares inconnus en fonction d'attributs de fichier, de tentatives d'exploitation de vulnérabilités et autres actions courantes qui sont l'œuvre de malwares connus.

Gros plan sur les fonctionnalités

Chacune des sections suivantes décrit une caractéristique de technologie basée sur les fichiers et intrinsèque aux composants principaux décrits ci-dessus.

Prise en charge élargie des fichiers

Les fichiers compressés et les fichiers incorporés dans d'autres fichiers comptent parmi le vaste ensemble de types de fichier pouvant faire l'objet d'une recherche de malwares cachés. Voici une liste partielle de types de fichier analysé :

DOC, .DOT, .PPT, .PPS, .XLA, .XLS, .XLT, .WIZ, .SDW, .VOR, .VSS, .VST, .AC_, .ADP, .APR, .DB, .MSC, .MSI, .MTW, .OPT, .PUB, .SOU, .SPO, .VSD, .WPS, .MSG ZIP, .DOCX, .DOCM, .DOTX, .DOTM, .PPTX, .PPTM, .PPSX, .PPSM, .XLSX, .XLSB, .XLSM, .XLTX, .XLTM, .XLAM, .XPS, .POTX, .POTM, .ODT, .OTT, .STW, .SXW, .eml, .MME, .B64, .MPA, ,AMG, .ARJ, .CAB, .XSN, .GZ, .LHA, .SHS, .RAR, .RFT, .TAR, .DAT, .ACE, .PDF, .TXT, .HQX. .MBOZ, .UUE, .MB3, .AS, .BZ2, .ZIP, .ZIPX

Moteur de décompresseur

Dans certains cas, le malware utilise la technologie de « compresseur » afin de brouiller ses fichiers dans une tentative d'échapper à la détection par des algorithmes de correspondance de schéma simplistes. Notre moteur de décompresseur peut :

  • Décompresser les fichiers exécutables affectés
  • Reconnaître des centaines de familles de compresseurs distinctes
  • Décompresser de manière récursive des fichiers compressés de multiples fois jusqu'à atteindre le malware principal

Machine virtuelle générique (GVM, Generic Virtual Machine)

La GVM permet d'exécuter du code dans un environnement sandbox sûr.

  • Système basé sur le code d'octet (par exemple, Java ou C#), permettant de produire rapidement de nouvelles technologies de protection sans pannes ou blocages en toute sécurité.
  • Applique une heuristique extrêmement complexe et des signatures de famille, pour les menaces telles que Trojan.Vundo.
  • Effectue l'analyse intégrale des formats de fichier non traditionnels ; par exemple, PDF, DOC, XLS, WMA, JPG, etc.

Moteur anti polymorphe

Inclut une technologie d'émulation d'UC avancée pour amener les malwares polymorphes à se montrer en les trompant.

Technologie anti rootkit

Symantec dispose de 3 technologies anti-rootkit différentes conçues pour détecter et éliminer jusqu'aux rootkits les plus tenaces tels que Tidserv et ZeroAccess et opérant à partir des techniques de furtivité généralement utilisées par les rootkits. Ces techniques incluent :

  • Accès direct aux volumes de disque dur. Analyse directe de la base de registre
  • Analyse de la mémoire de noyau

Moteur anti cheval de Troie

Inclut des techniques de hachage avancées pour analyser simultanément des millions de chevaux de Troie et de menaces par spyware en quelques microsecondes.

  • Localise et extrait les régions de fichiers clés connues pour contenir de la logique de malware.
  • Extrait des hachages cryptographiques de chaque section et les vérifie dans la base de données Fingerprint.
  • Des algorithmes avancés permettent au moteur anti cheval de Troie d'analyser simultanément des dizaines de millions de souches de malware en littéralement quelques microsecondes.

Moteur Photon

Utilise des signatures « floues » pour identifier les variantes de malware connues comme nouvelles et inconnues.

  • Analyse les fichiers en utilisant des centaines de milliers de signatures floues simultanément, ce qui améliore radicalement les performances d'analyse.
  • Les signatures floues peuvent détecter des souches de malware entièrement nouvelles dès qu'elles sont diffusées.

Moteur d'heuristique avancée

Détection accrue des souches polymorphes côté serveur.

  • Plus d'une douzaine de méthodes heuristiques différentes (et croissantes) recherchent différentes caractéristiques de fichier suspect.
  • Tous les fichiers suspects sont mis en corrélation avec le cloud de réputation de Symantec et notre liste de validation de signatures numériques.
  • Les moteurs utilisent le contexte pour ajuster la sensibilité de la méthode heuristique ; par exemple, les méthodes heuristiques se méfient davantage des fichiers nouvellement téléchargés que des applications installées

Réseau

La protection basée sur le réseau est un ensemble de technologies conçues pour bloquer les attaques malveillantes avant qu'elles n'aient la possibilité d'introduire des malwares dans un système. Contrairement à la protection basée sur les fichiers, qui doit attendre qu'un fichier soit physiquement créé sur l'ordinateur d'un utilisateur, la protection basée sur le réseau commence à analyser les flux de données entrants arrivant sur la machine d'un ordinateur via les connexions réseau et bloque les attaques avant qu'elles ne touchent le système.

Principaux vecteurs de menace contre lesquels la technologie basée sur le réseau de Symantec offre une protection :

  • Drive-by downloads (téléchargements non sollicités) et toolkits d'attaque Web
  • Attaques par ingénierie sociale – FakeAV et codecs factices
  • Attaques via les réseaux sociaux tels que Facebook
  • Détection des systèmes infectés par un malware, un rootkit et un bot
  • Protection contre les menaces brouillées
  • Attaques Zero-day
  • Protection contre les vulnérabilités logicielles non corrigées
  • Protection contre les adresses IP et les domaines malveillants

Cette catégorie consiste en trois technologies de protection distinctes :

Network Intrusion Prevention Solution (Network IPS)

La solution IPS orientée protocole comprend et analyse plus de 200 protocoles différents. Elle sépare de manière intelligente et précise les protocoles binaires et de réseau et recherche des signes de trafic malveillant. Cette intelligence autorise une analyse de réseau hautement précise tout en offrant une protection efficace. En son cœur repose un moteur générique de blocage des exploits qui assure un blocage anti évasion des attaques sur les vulnérabilités. Une caractéristique unique de la solution Symantec IPS est qu'aucune configuration n'est requise pour activer d'emblée les fonctionnalités de protection Network IPS. Chaque produit grand public Norton et chaque système Symantec Endpoint Protection 12.1 et versions ultérieures activent cette technologie cruciale par défaut.

Protection du navigateur

Ce moteur de protection repose à l'intérieur du navigateur et peut détecter les menaces les plus complexes que les méthodes antivirus et Network IPS traditionnelles ne peuvent pas détecter. Aujourd'hui, de nombreuses attaques basées sur le réseau utilisent le brouillage pour échapper à la détection. Parce qu'elle opère au sein du navigateur, la protection du navigateur est en mesure de surveiller le code rendu clair à mesure qu'il s'exécute et de ce fait est capable de détecter et de bloquer les attaques qui sont manquées à des niveaux d'inspection inférieurs au sein de la pile de protection.

Protection contre les téléchargements non autorisés (UXP)


Au sein de la couche de protection basée sur le réseau, cette dernière ligne de défense permet de mitiger les vulnérabilités inconnues et non corrigées, sans l'utilisation de signatures, ce qui apporte un niveau supplémentaire de protection contre les attaques Zero-day.

Cibler les problèmes

Ensemble, ces technologies de protection basée sur le réseau traitent les problèmes suivants.

Drive-by downloads (téléchargements non sollicités) et toolkits d'attaque Web

Exploitant la méthode Network IPS et de protection du navigateur, ainsi que notre technologie UXP, les technologies de protection contre les menaces réseau de Symantec bloquent les drive-by downloads et empêchent les malwares d'atteindre le système dorsal. Nous utilisons avec ces technologies une variété de méthodes de prévention, dont notre technologie de blocage générique des exploits (mentionnée ci-dessous) et notre solution générique de détection de toolkit d'attaque Web. Notre solution générique de détection de toolkit d'attaque Web analyse les caractéristiques réseau des toolkits d'attaque Web courants indépendamment des vulnérabilités attaquées, et apportent ainsi une protection Zero-day supplémentaire contre les nouvelles vulnérabilités, ainsi qu'une protection contre les toolkits d'attaque Web eux-mêmes. L'intérêt principal de cette protection contre les toolkits d'attaque Web et les drive-by downloads est que les malwares qui auraient infecté silencieusement le système d'un utilisateur sont arrêtés et éloignés du système de manière proactive, ce que les technologies de détection traditionnelles ne font généralement pas. Symantec continue à bloquer des dizaines de millions de variantes de malware qu'aucune autre méthode ne détecte généralement.

Attaques par ingénierie sociale   

Parce que nos technologies de protection examinent le trafic du réseau et du navigateur à mesure qu'il est rendu, nous sommes en mesure d'utiliser les données du terminal client pour déterminer si une attaque par ingénierie sociale (par exemple, une solution antivirus ou un codec factice) a lieu. Nos technologies fonctionnent pour bloquer les attaques par ingénierie sociale avant qu'elles ne soient affichées et entravent leurs tentatives de tromper l'utilisateur final. La plupart des autres solutions concurrentes n'incluent pas cette fonctionnalité puissante. Notre solution bloque des millions d'attaques qui, si elles étaient libres de s'exécuter, ne seraient normalement pas détectées par les autres technologies traditionnelles basées sur les signatures.

Symantec bloque des centaines de millions d'attaques par ingénierie sociale grâce à sa technologie de protection contre les menaces réseau.

Attaques ciblant les applications de réseau social

Les applications de réseau social sont devenu un moyen de partager instantanément des mises à jour personnelles et professionnelles et des vidéos et informations intéressantes avec des milliers d'autres utilisateurs. Cette quête continue de mises à jour et la portée des réseaux sociaux signifient également que les applications de réseau social sont une cible clé des hackers cherchant à infecter votre système. Certaines techniques courantes des hackers incluent de compromettre les comptes et d'envoyer du spam ou des liens malveillants pour amener les utilisateurs en les trompant à répondre à des enquêtes factices, ou incluent des attaques de type « Likejacking » sur Facebook, où l'utilisateur est incité à cliquer sur un lien pour regarder une vidéo tandis qu'un bouton « J'aime » invisible suit les mouvements de sa souris. Que vous le vouliez ou non, vous aimez instantanément la mise à jour.

La technologie IPS de Symantec protège contre ces types d'attaque et les neutralise souvent avant que l'utilisateur ne soit incité à cliquer sur un contenu. Grâce à sa technologie de protection basée sur le réseau, Symantec arrête les URL et applications malveillantes et non autorisées et le scam.

Détection des systèmes infectés par un malware, un rootkit et un bot,


Ne serait-il pas avantageux de savoir où se trouvent les ordinateurs infectés sur votre réseau ? Notre solution Network IPS apporte cette fonctionnalité et inclut une solution de détection et de remédiation des menaces qui auraient pu contourner les autres couches de protection. Nous détectons les malwares et les bots cherchant à « appeler chez eux » ou à obtenir des mises à jour pour diffuser plus d'activités malveillantes. De ce fait, les responsables informatiques, qui disposent d'une liste prioritaire des systèmes infectés à examiner, ont la certitude que l'entreprise est sécurisée. Les menaces polymorphes et complexes utilisant des méthodes de rootkit pour se cacher (par exemple, Tidserv, ZeroAccess, Koobface et Zbot) peuvent être détectées et arrêtées grâce à cette méthode.

Protection contre les menaces brouillées


Aujourd'hui, les attaques basée sur le Web utilisent des méthodes complexes pour cacher ou brouiller leurs actions. La solution de protection du navigateur de Symantec repose au sein du navigateur et peut détecter des menaces hautement complexes, contrairement à la plupart des solutions traditionnelles.

Vulnérabilités Zero-day et non corrigées

L'un de nos ajouts les plus récents à la protection réside dans notre couche supplémentaire contre les vulnérabilités Zero-day et non corrigées. En utilisant la protection sans signature, nous interceptons les appels d'API système et protégeons contre le téléchargement de malwares (protection contre les téléchargements non autorisés (UXP)). Au sein de notre technologie de protection contre les menaces réseau, cette méthode constitue la dernière ligne de défense et permet de mitiger les vulnérabilités inconnues et non corrigées sans l'utilisation de signatures. Cette technologie est activée automatiquement et est fournie depuis le lancement de Norton 2010.

Protection contre les vulnérabilités logicielles non corrigées

Les malwares s'installent souvent silencieusement sur les systèmes en exploitant les vulnérabilités logicielles. Les solutions de protection du réseau de Symantec fournissent une couche de protection supplémentaire nommée technologie de blocage générique des exploits (ou GEB, Generic Exploit Blocking). Qu'un système soit corrigé ou non, la technologie GEB protège de manière générique contre l'exploitation des vulnérabilités sous-jacentes. Les vulnérabilités dans Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, les contrôles ActiveX ou QuickTime font partie de l'environnement actuel des menaces. Nous avons créé notre protection de blocage générique des exploits en procédant à une ingénierie inverse de la manière dont la vulnérabilité peut être exploitée, puis en recherchant les caractéristiques de l'exploitation sur le réseau, fournissant essentiellement un correctif de niveau réseau. Une seule signature GEB ou de vulnérabilité peut protéger contre des milliers de variantes de malwares inconnues auparavant de Symantec ou autres fournisseurs de sécurité.

Blocage des adresses IP et des domaines malveillants

La protection basée sur le réseau de Symantec inclut également des fonctionnalités de blocage des adresses IP et des domaines malveillants qui bloquent les malwares et le trafic malveillant issus de sites Web malveillants connus. En exploitant l'analyse effectuée par l'équipe Security Technology and Response pour détecter les sites Web malveillants et les mettre à jour via LiveUpdate, Symantec fournit une protection en temps réel contre les menaces évoluant en permanence.

Résistance contre l'évasion améliorée

Un support au codage supplémentaire a été ajouté pour améliorer l'efficacité de la détection et la résistance contre l'évasion dans les attaques en cas de codage avec des techniques courantes telles que base64 et gzip.

Détection d'audit de réseau pour la mise en œuvre de l'utilisation de la politique et l'identification des fuites de données

La méthode Network IPS peut être utilisée pour identifier les applications et les outils susceptibles de violer les politiques d'utilisation d'entreprise ou pour la protection contre les fuites de données via le réseau. Il est possible de détecter, d'alerter ou de prévenir le trafic tel que le trafic de messagerie instantanée, pair à pair, de connexion au partage ouvert, de réseau social et autre trafic « intéressant ».

STAR Intelligence Communication Bus

La technologie de protection du réseau n'opère pas d'elle-même. Ce moteur partage des données avec nos autres technologies de protection à l'aide du protocole STAR Intelligence Communication Bus (STAR ICB). Le moteur Network IPS communique avec les moteurs Symantec SONAR et Insight Reputation, ce qui autorise une protection plus éclairée et plus précise que les solutions fournies par n'importe quel autre fournisseur de sécurité.

Produits Symantec

Les pages suivantes contiennent des formes de protection basée sur les fichiers.                               

Système de protection basé sur le comportement

Aujourd'hui, des millions d'utilisateurs finaux sont amenés par tromperie à cliquer sur des malwares qui se font passer pour des lecteurs vidéo ou des applications antivirus dont la seule action est d'infecter le système de l'utilisateur et d'amener par ingénierie sociale l'utilisateur à acheter un logiciel inutile. Les drive-by downloads et les toolkits d'attaque Web infectent silencieusement les utilisateurs qui visitent par centaines de millions les sites Web grand public. Certains malwares installent des rootkits ou injectent du code malveillant dans les programmes et les processus système en cours d'exécution. Aujourd'hui, les malwares pouvant être générés de manière dynamique, la détection basée sur les fichiers ne suffit pas à protéger les systèmes des utilisateurs finaux.

Pourquoi une sécurité basée sur le comportement ?

En 2010, Symantec a observé plus de 286 millions de variantes de malware et a bloqué plus de 3 milliards d'attaques. Au vu de la croissance continue des menaces de malware et leurs variantes, Symantec a jugé nécessaire de créer des approches innovantes leaders de l'industrie afin de prévenir les infections par des malwares et de protéger les utilisateurs silencieusement et automatiquement, indépendamment des tâches qu'ils effectuent ou de la manière par laquelle les malwares pénètrent dans leur système. La technologie Insight Reputation Technology de Symantec et notre solution de sécurité Symantec Online Network for Advanced Response (SONAR) basée sur le comportement constituent deux de ces approches innovantes.

Les technologies de sécurité basées sur le comportement sont les mieux positionnées pour s'adapter à ce rythme de croissance rapide car les comportements peuvent généraliser une vaste population de fichiers malveillants et de fichiers sains bien plus efficacement que l'heuristique basée sur les fichiers. Les comportements changent à peine ou ne peuvent être modifiés très facilement qu'au prix d'efforts soutenus préjudiciables à la propagation des malwares et aux stratégies de création.

La technologie de protection basée sur le comportement offre une protection efficace et discrète face aux menaces informatiques Zero-day auparavant non détectées. SONAR est la solution qui fournit une protection contre les menaces en fonction des opérations effectuées par l'application et non pas en fonction de l'apparence de l'application. SONAR est le moteur principal de notre technologie et nos fonctionnalités basées sur le comportement : un moteur de classification basé sur l'intelligence artificielle et sur les signatures comportementales humaines, ainsi qu'un moteur de verrouillage de politique comportementale. Ensemble, ces composants fournissent une protection leader de l'industrie contre les menaces qui le plus souvent relèvent de l'ingénierie sociale ou sont des attaques ciblées.

Principaux vecteurs de menace contre lesquels la technologie basée sur le comportement de Symantec offre une protection :

  • Attaques ciblées, y compris APT (Advanced Persistent Threat), chevaux de Troie, enregistreurs de frappes et menaces de malware générales
  • Attaques par ingénierie sociale – FakeAV, générateurs de clés non autorisés et codecs factices
  • Bots et réseaux de bots
  • Menaces injectées non basées sur les processus (NPT)
  • Attaques Zero-day
  • Malwares résultant de drive-by downloads ayant contourné les autres niveaux de protection
  • Malwares utilisant des techniques de rootkit pour se cacher

À quel moment la technologie basée sur le comportement de Symantec fournit-elle une protection ?

Que l'utilisateur exécute l'application malveillante volontairement (trompé par ingénierie sociale) ou que le malware tente de s'installer automatiquement et silencieusement au moyen d'une attaque Web (par exemple, un drive-by download), SONAR empêche les malwares d'infecter les systèmes en temps réel une fois qu'ils s'exécutent ou qu'ils démarrent ou qu'ils tentent de s'injecter dans des processus en cours d'exécution (NPT). En fournissant une protection Zero-day contre les menaces Hydraq/Aurora et Stuxnet et les malwares incorporant des rootkits (par exemple, Tidserv et ZeroAccess), SONAR a démontré qu'il constitue une technologie essentielle à la protection des terminaux client.

Fonctionnement ? Moteur de classification basé sur l'intelligence artificielle

Symantec a développé l'une des plus grandes bases de données au monde de profils comportementaux sur presque 1,2 milliard d'instances d'application. En analysant les attributs des actions effectuées par les applications saines et les applications nuisibles à l'aide de l'analyse d'apprentissage par machine, Symantec est en mesure de créer des profils de comportement pour des applications n'ayant même pas encore été créées ! En s'appuyant sur pas loin de 1 400 attributs comportementaux différents et un contexte riche que nous pouvons collecter via nos autres composants de sécurité de terminal client tels que les moteurs Insight, IPS et AV, le moteur de classification SONAR peut repérer rapidement les comportements malveillants et prendre des mesures pour éliminer les applications nuisibles avant qu'elles n'occasionnent des dommages. En 2011, plus de 586 millions de fichiers exécutables, de fichiers DLL et d'applications ont été analysés par SONAR pour les clients de Norton et Symantec.

Protection contre les menaces non basées sur les processus

Aujourd'hui, les menaces ne sont pas toujours des fichiers exécutables de malware autonomes. Elle tentent de se cacher dès que possible en injectant du code dans les processus ou les applications en cours d'exécution ou en enregistrant des composants dans les applications extensibles et font ainsi croire que leurs activités malveillantes sont l'œuvre de processus autorisés du système d'exploitation ou d'applications approuvées. Par exemple, lorsqu'un malware s'exécute, il peut injecter du code malveillant dans les processus en cours d'exécution (par exemple, explorer.exe (processus de shell du bureau) ou IExplorer.exe (navigateur Internet Explorer)) ou enregistrer des composants malveillants comme extensions de ces applications. De ce fait, les activités malveillantes sont exposées par des composants du système d'exploitation bien connus et approuvés. SONAR empêche l'injection de code dans des processus cible en classant les processus source qui tentent d'injecter du code. Il classe également et, si nécessaire, empêche le code malveillant d'être chargé ou exécuté dans le processus cible/approuvé.

Verrouillage de politique comportementale

Les drive-by downloads fonctionnent en exploitant les vulnérabilités dans les plug-ins des navigateurs tels qu'Adobe Reader, Oracle Sun Java et Adobe Flash. Une fois la vulnérabilité exploitée, le drive-by download peut amener l'application vulnérable à lancer silencieusement n'importe quelle application de son choix. En créant une définition de verrouillage de politique comportementale, nous pouvons bloquer les comportements malveillants tels que « Adobe Acrobat ne doit pas créer d'autres fichiers exécutables » ou « Les DLL ne doivent pas être autorisées à être injectées dans le processus explorer.exe », ce qui assure la protection du système. Ceci revient à verrouiller un comportement en fonction d'une politique ou d'une règle. Ces définitions/politiques SONAR sont créées par l'équipe Symantec STAR et automatiquement déployées en mode blocage et ne nécessitent aucune gestion par le client. Elles préviennent les comportements suspects des applications saines et protègent automatiquement les utilisateurs.

Signatures de mise en œuvre de politique comportementale (BPE)

Être en mesure d'évoluer avec l'environnement toujours changeant des menaces est la clé de notre technologie SONAR et notre solution de protection est renforcée par la capacité à cibler les menaces futures également. Lorsqu'une nouvelle famille de menaces (par exemple, un nouveau rootkit, cheval de Troie, FakeAV ou autre type de malware) est observée, nous pouvons à présent créer de nouvelles signatures comportementales afin de détecter une nouvelle famille de menaces et diffuser ces signatures sans procéder à des mises à jour du produit. Ces signatures sont nommées signatures de mise en œuvre de politique comportementale SONAR. Ces signatures sont rapides à écrire, tester et déployer et apportent à SONAR la flexibilité et l'adaptabilité permettant de répondre à certaines classes de menaces émergentes avec un taux de faux positifs très faible. De nombreuses signatures SONAR BPE ciblent des applications trompeuses FakeAV sur des menaces de malware et des rootkits spécifiques tels que Graybird, Tidserv, ZeroAccess et Gammima.

Comment opèrent les signatures BPE ?

Examinons une application en cours d'exécution.

  • Elle laisse certains composants dans le répertoire temporaire Windows.
  • Elle ajoute des entrées de registre.
  • Elle modifie le fichier d'hôtes.
  • Elle ne comporte pas d'interface utilisateur.
  • Et elle ouvre des communications sur les ports élevés.

Ces comportements, isolés, ne sont pas nécessairement nuisibles, mais, pris dans son ensemble, le profil comportemental est nuisible. Notre analyste STAR crée une règle qui indique que si nous observons cette séquence de comportements avec des exécutables présentant certaines caractéristiques Insight Reputation, nous devons empêcher le processus de s'exécuter et annuler les modifications – SONAR peut mettre en œuvre un sandbox virtuel au niveau de l'application infectée mais légitime et, en procédant ainsi, peut empêcher l'application infectée de prendre des mesures malveillantes risquant d'endommager l'ordinateur d'un utilisateur. Il s'agit d'un paradigme entièrement nouveau dans la protection de la sécurité des terminaux client, la solution exploitant ce que l'application fait et son comportement plutôt que son apparence.

Remédiation d'automatisation des fichiers malveillants avec sandboxing

Le moteur de protection comportementale en temps réel surveille et met en sandbox les applications, les processus et les événements comme ils arrivent et non pas de manière statique. Les modifications du système peuvent être annulées pour empêcher l'activité malveillante d'affecter le système.

Surveillance des applications et des processus en temps réel


SONAR surveille et protège contre plus de 1 400 aspects de tous les processus, applications et DLL en cours d'exécution, fournissant une protection en temps réel contre les menaces alors qu'elles s'exécutent.

STAR Intelligence Communication Bus

La technologie SONAR n'opère pas d'elle-même. Ce moteur partage des données avec nos autres technologies de protection à l'aide du protocole STAR Intelligence Communication Bus (STAR ICB). Le moteur SONAR communique avec les moteurs Network IPS, AV et Insight Reputation, ce qui autorise une protection plus éclairée et plus précise que les solutions fournies par n'importe quel autre fournisseur de sécurité.   

Système de protection basé sur la réputation

Le dernier ajout à la suite de technologies de protection développée par STAR, la sécurité basée sur la réputation, traite le dernier développement survenu dans l'environnement des menaces : les malwares micro-distribués. En se basant sur l'expérience combinée de plus de 130 millions d'utilisateurs contribuant, notre système de réputation apprend quelles applications sont saines et nuisibles en fonction des schémas d'adoption anonymes de nos utilisateurs. Il utilise ensuite ces données pour automatiquement classer virtuellement chaque fichier logiciel sur la planète. Ces données de réputation sont utilisées par tous les produits Symantec pour bloquer automatiquement les nouveaux malwares et, à l'inverse, pour identifier et autoriser les nouvelles applications légitimes.

Le problème : un environnement des menaces changeant

Dans les années précédentes, des quantités relativement faibles de menaces étaient diffusées sur des millions de machines. Chaque menace pouvait être facilement bloquée par une seule signature antivirus déployée sur chaque système protégé. Réalisant ceci, les développeurs de malwares ont changé de technique et utilisent aujourd'hui une variété de techniques de brouillage pour changer rapidement l'apparence des menaces qu'ils produisent. Il est courant aujourd'hui que les hackers génèrent une nouvelle variante de menace en temps réel pour chaque victime, ou une poignée de victimes, ce qui se traduit par des centaines de millions de nouvelles variantes distinctes chaque année.

Ces menaces sont alors diffusées sur les ordinateurs cible via des attaques Web ou par ingénierie sociale. Selon nos données, la plupart des menaces actuelles touchent moins de 20 machines à travers le monde : il est donc presque impossible pour les fournisseurs de sécurité de découvrir la plupart de ces menaces, d'en capturer un spécimen et de l'analyser puis d'écrire une signature réactive traditionnelle. Avec plus de 600 000 nouvelles variantes créées au quotidien (l'année dernière, Symantec a reçu 240 millions de hachages de menace uniques des machines protégées de ses clients), il est impossible de créer, tester et diffuser le volume de signatures traditionnelles nécessaire à la résolution du problème.

La solution : protection basée sur la réputation

La prise d'empreinte traditionnelle d'un virus nécessite que le fournisseur de sécurité obtienne un spécimen de chaque menace afin de pouvoir fournir une protection. La sécurité basée sur la réputation de Symantec adopte une approche entièrement différente. Elle ne se concentre pas uniquement sur les fichiers nuisibles, mais tente de classer avec précision tous les fichiers logiciels, sains comme nuisibles, en fonction d'une infinité de « pings » de télémétrie anonymes envoyés à Symantec chaque seconde tous les jours et de partout dans le monde. Ces pings presque en temps réel indiquent à Symantec :

  • Les applications en cours de déploiement sur les machines de nos clients (chaque application est identifiée de manière unique par son hachage SHA2).
  • L'origine des applications sur le Web.
  • Si les applications sont numériquement signées ou non.
  • L'âge des applications.
  • Une quantité d'autres attributs.

Nous enrichissons ces données via notre réseau de données mondial, notre équipe Security Response et les fournisseurs de logiciels légitimes fournissant des instances d'application à Symantec.

Ces données sont incorporées dans un modèle à grande échelle, comme le réseau social Facebook, et sont composées de liens entre les applications et les utilisateurs anonymes plutôt que de simples connexions entre utilisateurs. Ceci code les relations existant entre tous ces fichiers et nos millions d'utilisateurs anonymes. Nous analysons alors ce réseau application-utilisateur afin d'obtenir des notations en termes de sécurité sur chaque application – en identifiant chacune comme saine, nuisible ou entre les deux. Ce système suit actuellement plus de 1,98 milliard de fichiers sains et nuisibles et découvre de nouveaux fichiers au rythme de plus de 20 millions par semaine.

Fonctionnalités

Les produits de passerelle, de serveur et client Symantec utilisent les données de réputation pour améliorer leur protection par les quatre méthodes suivantes :

Protection supérieure

Le système de réputation calcule des scores de réputation hautement précis sur chaque fichier, sain comme nuisible. Cette approche est non seulement efficace face aux malwares courants, mais en outre elle peut également identifier même les menaces les plus obscures – y compris celles n'affectant qu'une poignées d'utilisateurs sur le réseau Internet entier. Ceci augmente les taux de détection dans toutes les catégories de malware.

L'aspect le plus visible de la protection accrue fournie par la réputation peut s'observer via la fonctionnalité « Diagnostic des téléchargements » des produits Norton et de notre produit Symantec Endpoint Protection. DI/DA intercepte chaque fichier exécutable nouveau lors de son téléchargement via Internet. Il interroge alors le cloud de réputation Symantec pour connaître le score du fichier. En fonction des scores reçus du cloud, DI/DA prend une mesure parmi trois mesures différentes :

  • Si le fichier a développé une mauvaise réputation, il est immédiatement bloqué.
  • Si le fichier a développé une bonne réputation, il est autorisé à s'exécuter.
  • Si le fichier est encore en train de développer sa réputation et que sa sécurité est inconnue, l'utilisateur est averti que le fichier n'est pas approuvé. L'utilisateur peut alors décider, selon sa tolérance au risque, s'il souhaite ou non utiliser le fichier. Une autre possibilité est que, dans les déploiements d'entreprise, l'administrateur peut spécifier différents seuils de blocage/autorisation pour différents services en fonction de la tolérance au risque propre à chaque service.

Prévient les faux positifs

Deux aspects distincts de la technologie contribuent à réduire davantage les taux de faux positifs déjà significativement bas de Symantec sur les logiciels légitimes :

D'abord, parce que la technologie basée sur la réputation obtient ses scores de fichier en fonction du graphique d'adoption sociale plutôt que du contenu de chaque fichier (comme la technologie d'analyse antivirus traditionnelle), il fournit une seconde opinion pour améliorer nos technologies de détection traditionnelles telles que l'heuristique antivirus ou le blocage de comportement. Si les deux opinions désignent un fichier comme étant de nature malveillante, la probabilité d'une erreur de jugement devient infime.

Deuxièmement, parce que le système maintient à jour des informations de prévalence sur tout le contenu exécutable, ces informations peuvent également être incluses dans la décision de condamner le fichier ou pas. Par exemple, une condamnation ambiguë d'un fichier situé sur uniquement deux systèmes dans le monde serait bien moins nuisible qu'une condamnation comparable d'un fichier situé sur des millions de machines. Prendre ces informations en compte dans chaque décision permet de prendre des décisions plus éclairées pour mieux protéger nos utilisateurs.

Performances améliorées

La machine d'un utilisateur standard comporte des milliers et des milliers de fichiers qui ne changent jamais et, sauf rares exceptions, tous ces fichiers sont sains. Toutefois, parce que les antivirus traditionnels se concentrent sur la recherche des fichiers nuisibles en fonction d'une liste de menaces connues, ils doivent analyser chaque fichier du système d'un utilisateur pour le comparer à la liste de menaces connues. À mesure que de nouvelles menaces sont découvertes, chaque fichier du système d'un utilisateur doit être réanalysé avec les nouvelles signatures pour vérifier si le fichier correspond à l'une des menaces nouvellement découvertes.

Ceci devient un processus très inefficace si l'on considère que les fournisseurs de sécurité publient des milliers de nouvelles signatures de virus au quotidien. Toutefois, la sécurité basée sur la réputation présente par nature des scores de sécurité précis sur tous les fichiers, sains comme nuisibles. Ceci permet aux produits ayant une technologie de réputation d'analyser le système d'un utilisateur et de marquer définitivement les fichiers sains connus comme sains et de les mettre de côté afin qu'ils ne soient pas à nouveau analysés – sauf si leur contenu change. Ceci a un impact radical sur les performances, réduisant les besoins en ressources d'une analyse traditionnelle et d'une protection en temps réel de jusqu'à 90 % – d'où une expérience utilisateur largement améliorée.

Verrouillage basé sur la politique

Les solutions de sécurité traditionnelles se sont concentrées sur le blocage binaire des malwares connus – tout élément absolument identifié comme nuisible est supprimé de la machine d'un utilisateur tandis que tous les autres composants restent intacts (qu'ils soient sains ou non). Dans le monde réel, de nombreuses opportunités où les malwares peuvent pénétrer dans le système d'un utilisateur ne sont pas prises en compte. Considérons un malware entièrement nouveau venant d'être créé par un cyber criminel : il est très probable que les signatures antivirus existantes ne seront pas en mesure de détecter une telle menace car le fournisseur n'a jamais eu l'occasion de l'analyser d'abord. Sauf si la nouvelle menace exploite une vulnérabilité connue ou affiche un schéma prédéterminé de comportements malveillants, elle peut ne pas être détectée par les techniques de sécurité existantes. La sécurité basée sur la réputation aide les utilisateurs et les administrateurs informatiques à traiter cette situation en prenant des décisions meilleures et plus éclairées à propos du contenu exécutable qu'ils autorisent sur leurs machines.

Outre la gestion des informations indiquant qu'un fichier est sain ou nuisible, le système basé sur la réputation de Symantec maintient à jour des attributs supplémentaires (par exemple, la prévalence et l'âge de chaque fichier). Ces attributs peuvent être utilisés pour mettre en œuvre des politiques au niveau de nos produits d'entreprise à venir afin de permettre aux administrateur de contrôler les éléments pouvant être installés sur le système d'un utilisateur. Par exemple, dans le cas d'une nouvelle menace, même si celle-ci n'est pas encore signalée comme étant de nature malveillante, elle sera très jeune et les utilisateurs et administrateurs informatiques peuvent utiliser des informations de réputation pour mettre en œuvre des politiques d'autorisation sur leurs ordinateurs. Par exemple, l'administrateur informatique peut choisir de n'autoriser les employés du service financier qu'à télécharger les applications ayant au moins 1 000 utilisateurs certifiés et au moins deux semaines de disponibilité sur Internet, tandis que le personnel de l'assistance informatique peut être autorisé à télécharger les fichiers de tout âge avec au moins 100 autres utilisateurs et un score de réputation modéré. Ces politiques permettent aux administrateurs d'adapter leur protection en fonction de la tolérance au risque unique de chaque service. Nos études montrent qu'il s'agit d'une méthode très efficace pour mitiger l'exposition aux nouveaux malwares au sein de l'entreprise.

Remédiation

Bien que notre objectif soit de ne jamais laisser une menace atteindre une machine, il existe dans le monde réel des situations où le système d'un utilisateur peut être infecté. Ces situations peuvent inclure :

  • Les utilisateurs qui ne disposaient pas de produit de sécurité auparavant.
  • Les utilisateurs dont l'abonnement de produit a expiré.
  • Les utilisateurs attaqués par une menace Zero-day.

Les technologies de remédiation de Symantec traitent ces situations en fournissant des fonctionnalités pour nettoyer les machines déjà infectées. Les fonctionnalités centrales de ces technologies sont intégrées à tous nos produits de sécurité anti malware.

Plus récemment, nous avons mis à la disposition des utilisateurs un ensemble d'outils autonomes permettant d'éliminer les infections plus agressives. Ces outils incluent Norton Power Eraser et Symantec Power Eraser (inclus dans Symantec Endpoint Protection Support Tool). Les fonctionnalités de ces outils de remédiation incluent :

Un moteur flexible et facile à mettre à jour

Parce que l'environnement des menaces change en permanence pour échapper aux suites de sécurité, ces outils peuvent être facilement mis à jour pour réagir au menaces Zero-day.

Cibler les infections dans leur intégralité

Des téléchargeurs aux charges utiles et aux rootkits qui les cachent, les infections d'aujourd'hui sont complexes et tirent parti de multiples composants pour orchestrer des résultats bénéfiques aux hackers. Le moteur Power Eraser est conçu pour détecter et éliminer ces risques en recherchant des schémas comportementaux non pas de la menace uniquement, mais aussi du téléchargeur ayant à l'origine introduit la menace dans le système.

Techniques de détection agressive

Le moteur Power Eraser utilise plusieurs moteurs heuristiques nouveaux et points d'analyse de données pour détecter une vaste gamme de menaces. Parmi ces éléments figurent l'heuristique d'emballeur, l'analyse de point de charge, l'heuristique de rootkit, l'analyse comportementale, l'analyse de distribution et les moniteurs de configuration système.