Êtes-vous sûr d’être bien protégé par votre solution antivirus de nouvelle génération ?
Échec de l’antivirus. « Tout a commencé à six heures du matin, lorsque le RSSI de l’un de nos clients a appelé la ligne d’urgence de notre CSIRT. Ce client venait d’être touché par un ransomware qui avait crypté ses serveurs de fichiers. Le RSSI a été stupéfait par l’ampleur des dégâts. Il était particulièrement frustré, car il pensait être bien protégé par sa solution anti-virus et anti-malware réputée qui aurait dû bloquer les ransomwares, les zero-days et les attaques avancées. Il n’aurait jamais pensé qu’un tel logiciel malveillant puisse s’introduire dans ses systèmes et les mettre hors service aussi rapidement ». Consultant en approche, David BLOOM.
« Nous avons mené des investigations qui ont révélé que l’antivirus était correctement installé, configuré et à jour. Qu’est-ce qui n’a pas fonctionné ? » demande le responsable du CSIRT Marc STERN.
Peut-on vraiment faire confiance à une solution antivirus lorsqu’elle prétend protéger contre des menaces inconnues ?
Pour apporter une réponse substantielle à cette question, nous avons simulé une attaque similaire dans notre cyber-laboratoire. Quelques jours s’étant écoulés entre-temps, le ransomware n’était plus un zero-day. Nous avons donc utilisé un logiciel malveillant développé en interne pour simuler l’attaque : un script python assez simple emballé dans un exécutable.
Regardez la simulation d’attaque réalisée dans notre cyber-laboratoire
– Les premiers essais d’un ransomware classique ont été couronnés de succès… du point de vue de l’attaquant. Tous les fichiers ciblés ont été cryptés sans aucune alerte de l’antivirus.
– Nous sommes donc allés un peu plus loin pour tester l’efficacité de l’AV sur une plus grande variété d’attaques. Nous avons développé un logiciel malveillant mettant en œuvre un shell distant et d’autres fonctionnalités, comme un exploit basé sur une vulnérabilité connue depuis plusieurs mois. Nous l’avons ensuite exécuté sur un poste de travail Windows 10 obsolète pour vérifier si au moins une partie du logiciel malveillant était détectée.
– Nous avons reproduit l’environnement antivirus de nos clients avec une version actualisée de Sophos Advanced Endpoint Protection et Sophos Intercept X avec toutes les fonctions de sécurité activées.
Nos conclusions
Nous avons effectué des tests similaires avec des solutions antivirus de trois autres grands fournisseurs et seul l’un d’entre eux a obtenu de meilleurs résultats. Notre intention n’est certainement pas de prétendre que l’antivirus Sophos aurait été moins performant que les autres, mais il nous est difficile de comprendre des affirmations vides de sens telles que « protection contre les menaces inconnues » ou des affirmations explicites concernant des mécanismes de détection/blocage qui se sont avérés inefficaces.
Comme le montre cette simulation d’attaque, une solution de sécurité seule n’est pas une garantie suffisante de protection efficace si vous ne disposez pas, au minimum, d’un système à jour (dans ce cas, nous avons exploité une ancienne vulnérabilité), de bonnes politiques techniques, d’autres couches de défense et d’une sensibilisation des utilisateurs.
Les logiciels malveillants constituent une menace majeure depuis de nombreuses années ; les pirates informatiques et les chercheurs en sécurité trouvent chaque jour de nouvelles techniques d’évasion et les sociétés d’antivirus font un travail impressionnant pour contribuer à un internet plus sûr, mais nous déplorons le marketing intensif basé sur des mots à la mode et des statistiques qui donnent à l’utilisateur final un faux sentiment de sécurité totale. L’utilisateur est, et restera probablement pendant un certain temps, le maillon faible dans le domaine de la sécurité.
Grâce à nos différents services de conseil, de formation et d’implémentation, Approach peut vous aider à augmenter significativement votre niveau de sécurité.
Description de notre scénario d’attaque
Ce que nous démontrons dans ces tests, c’est qu’il est possible de prendre le contrôle d’un ordinateur distant en acquérant les privilèges SYSTEM. Le scénario est simple : un employé du service d’assistance télécharge un jeu pendant son temps libre. Malheureusement, l’exécutable téléchargé n’est pas un jeu, mais un logiciel malveillant.
Voici la description des étapes que vous pouvez suivre dans la vidéo.
Premier avertissement de l’antivirus
Lorsque l’utilisateur a téléchargé le logiciel malveillant, l’antivirus l’avertit d’un danger potentiel car il s’agit d’un exécutable. Bien entendu, l’utilisateur clique sur « Continuer » car cet avertissement lui semble normal puisqu’il s’agit d’un jeu. A partir de ce moment, l’antivirus met l’exécutable sous surveillance. Ceci est visible dans la console sous « Eléments contrôlés ».
Les logiciels malveillants s’exécutent silencieusement
Le logiciel malveillant rappelle le serveur de « commande et de contrôle », prêt à exécuter nos commandes. À partir de là, le logiciel malveillant s’exécute silencieusement sans que l’utilisateur s’en aperçoive (l’utilisation de la souris dans la vidéo sert à des fins de démonstration).
Nous demandons aux malveillants de :
– Exécutez quelques commandes système (juste pour la démo) : « dir » pour afficher le répertoire de travail, puis « ipconfig » pour afficher la configuration des interfaces réseau du système victime.
– Faites une capture d’écran du bureau de la victime (pour la démo également).
– Cryptez un dossier et ses sous-dossiers à l’aide de l’algorithme AES, pour simuler un ransomware ciblé. Dans sa « fiche technique« , Sophos déclare que « la technologie Intercept X CryptoGuard détecte le chiffrement spontané des données malveillantes pour stopper le ransomware dans son élan », alors… nous l’avons testé.
– Exécutez une deuxième instance de notre malware avec des privilèges plus élevés (Admin). En effet, dans ce scénario, l’employé fait partie du service d’assistance informatique, il est administrateur du système. Mais comme vous le savez probablement, Microsoft a introduit le concept de contrôle d’accès de l’utilisateur (UAC) pour empêcher l’exécution de processus en tant qu’administrateur sans le consentement de l’utilisateur depuis Windows Vista. Cependant, au fil des années, de nombreux contournements de l’UAC ont été découverts par des chercheurs en sécurité. Nous avons utilisé l’un de ces contournements connus depuis longtemps(eventvwr.exe) pour obtenir les privilèges d’administrateur.
– Injecter un shellcode Meterpreter dans la mémoire. Dans la section « Active Adversary Mitigations » de sa « factsheet« , Sophos indique qu’il détecte le shell Meterpreter. Meterpreter est un shell distant avancé écrit pour le Metasploit Framework et utilisé par les testeurs de pénétration et les pirates informatiques du monde entier. C’est ce que nous avons testé avec succès : nous avons généré un shellcode Meterpreter et l’avons injecté dans la mémoire de la machine de la victime à l’aide de notre malware.
Cela confirme que la plupart des antivirus ont encore des difficultés à détecter les attaques sans fichier apparues ces dernières années, comme le mentionne ZDNet. Les attaques sans fichier ont presque 10 fois plus de chances de réussir que les attaques basées sur des fichiers.
La dernière étape est également réalisée à l’aide de Meterpreter :
- Nous lançons la commande « getsystem » pour élever à nouveau nos privilèges et obtenir les privilèges SYSTEM sur la victime. À partir de ce moment, le système accepte toutes les instructions que nous lui donnons par l’intermédiaire de Meterpreter.
A propos du testeur et de l’environnement de test
– Les tests ont été effectués par David Bloom, consultant en cybersécurité et membre de notre équipe CSIRT.
– Les tests ont été effectués sur la version Sophos Demo.
– Agent principal : 2.0.0
– Protection avancée des points finaux : 10.8.1.1
– Sophos Intercept X : 2.0.1
Vous souhaitez vous tenir au courant des dernières menaces ? Il est grand temps de vous abonner à notre lettre d’information SOC.
