Alors que le paysage des cybermenaces devient de plus en plus complexe, les équipes de sécurité se retrouvent confrontées à un volume de menaces qui augmente rapidement. De nombreuses entreprises sont confrontées à des volumes d’alertes élevés et à des faux positifs, entraînant ainsi un jeu du chat et de la souris perpétuel qui sollicite les ressources et diminue l’efficacité de la sécurité.
La défense automatisée contre les cibles mobiles (AMTD : Automated Moving Target Defense), un concept émergeant développé et défendu par Gartner, cherche à changer cette dynamique. Les produits et services de sécurité qui utilisent les technologies AMTD augmentent les coûts pour les attaquants en orchestrant des changements contrôlés au sein des environnements informatiques afin de perturber de manière proactive les attaques et à contrecarrer les activités de violation.
Par nature intrinsèquement indépendantes de toute menace, les solutions intégrant la technologie AMTD offrent aux entreprises des avantages considérables en matière de protection en renversant la situation au détriment des adversaires et en rendant inutiles une large gamme de tactiques, techniques et procédures (TTP) malveillantes.
Technologie AMTD au niveau des systèmes endpoint
Sophos a pour mission de bloquer dès le départ autant de menaces que possible en exploitant une large gamme de technologies de protection.
En plus de la réduction de la surface d’attaque, de l’analyse comportementale et des modèles IA Deep Learning, Sophos Endpoint améliore également la sécurité des applications en installant des barrières, indépendantes de toute menace, pour chaque processus. Cette approche complique nettement l’exécution, par tout type de programme, de code arbitraire ne faisant pas initialement partie de l’application, et oblige les attaquants à repenser et à apporter des modifications architecturales aux fonctions principales de leurs malwares.
Sophos déploie les technologies AMTD pour mettre en place des barrières et placer des pièges qui interceptent et perturbent automatiquement les menaces au niveau des systèmes endpoint. Ainsi, même les nouvelles variantes de menace qui parviennent à échapper aux autres mécanismes de protection auront plus de mal à lancer des actions malveillantes au niveau des machines sécurisées par Sophos.
Voici quelques exemples qui illustrent bien comment Sophos utilise la technologie AMTD pour assurer la sécurité de ses clients.
Adaptation
Avec la technologie AAP (Adaptive Attack Protection), Sophos Endpoint met en œuvre dynamiquement une protection agressive lorsqu’il détecte une attaque en cours.
Dans le cas où un attaquant obtiendrait un premier accès à un appareil dans l’environnement en question, la technologie AAP réduirait alors considérablement la probabilité de réussite de l’attaque et donnerait aux défenseurs plus de temps pour la neutraliser. Pour ce faire, elle met en œuvre des mesures de défense supplémentaires, notamment le blocage d’actions qui ne sont peut-être pas intrinsèquement malveillantes dans un contexte quotidien, mais qui sont dangereuses dans le contexte d’une attaque.
La Technologie AAP détecte la présence d’un adversaire actif de deux manières différentes : 1) grâce à l’utilisation de toolkits d’attaque courants, et 2) grâce à des combinaisons de comportements malveillants actifs qui peuvent être des signes précurseurs annonçant les premiers phases d’une attaque.
Lors de la détection, la technologie AAP active des restrictions temporaires qui ne conviennent pas à une utilisation quotidienne mais sont nécessaires lorsqu’un adversaire actif est détecté au niveau d’un système endpoint. Un exemple est d’empêcher un redémarrage en mode sans échec, car les attaquants l’utilisent pour échapper à la détection.
La technologie AAP s’appuie sur les chercheurs des SophosLabs, qui améliorent continuellement la détection des adversaires et les mesures de protection dynamiques en réponse aux changements dans le paysage des menaces.
Randomisation (distribution aléatoire)
Lorsqu’un module de ressource (DLL) au sein d’une application se charge systématiquement à la même adresse mémoire prévisible, il devient alors plus facile pour les attaquants d’exploiter les vulnérabilités.
Bien que les développeurs puissent choisir d’activer la distribution aléatoire de l’espace d’adressage (ASLR : Address Space Layout Randomization) lors de la compilation (qui randomise les adresses une fois par redémarrage), tout logiciel tiers dépourvu d’ASLR pourrait alors compromettre cette stratégie.
Sophos Endpoint améliore la sécurité des applications de productivité accessibles sur Internet en garantissant que chaque module se charge à une adresse mémoire aléatoire à chaque démarrage de l’application, complexifiant ainsi toute exploitation potentielle.
Tromperie
Les attaquants tentent souvent de cacher leur code malveillant aux scanners de fichier et de mémoire par obfuscation.
Sans cette étape préalable, ces derniers devraient alors générer un code unique pour chaque victime afin d’éviter qu’il ne ressemble à leur code précédent, qui pourrait ensuite être détecté et bloqué par les produits de protection Endpoint.
Heureusement, l’obfuscation du code malveillant doit être inversé (par une courte routine d’initialisation ou de chargement) avant qu’il ne puisse s’exécuter sur la machine. Ce processus d’inversion repose généralement sur des API spécifiques du système d’exploitation, et les attaquants tentent de ne pas révéler cette dépendance dès le début, car une telle découverte pourrait clairement mettre en lumière le subterfuge.
Par conséquent, cette dépendance est souvent omise au niveau de la table d’importation des fichiers binaires des malwares et, à la place, le chargeur/loader est configuré pour rechercher directement le module Windows résidant en mémoire qui fournit l’API nécessaire.
Sophos positionne stratégiquement des éléments de type leurre qui imitent les API liées à la mémoire couramment utilisées par les attaquants pour initialiser et exécuter leur code malveillant. Cette défense indépendante de toute menace et du code permet de bloquer le code malveillant sans entraver les applications inoffensives.
Limites
Pour échapper aux défenses, les codes malveillants sont généralement dissimulés et s’appuient souvent sur des applications inoffensives. Avant l’exécution d’un code dissimulé, tel qu’un implant à plusieurs niveaux, la menace doit finalement inverser son obfuscation, conduisant ainsi à la création d’une zone mémoire adaptée à l’exécution du code, ce qui est une exigence matérielle du processeur.
Les instructions sous-jacentes, ou Opcodes (Codes Opérations), nécessaires à la création d’une zone mémoire capable de coder sont si courtes et génériques qu’elles ne suffisent pas à elles seules pour que d’autres technologies de protection soient jugées malveillantes, car des programmes inoffensifs ne seraient alors plus autorisés à fonctionner.
Cependant, Sophos Endpoint conserve de manière unique l’historique, suit les évolutions en matière de propriété et corrèle les allocations de mémoire compatibles avec le code entre les applications, permettant ainsi de nouvelles mitigations de bas niveau qui seraient autrement impossibles.
Durcissement/Hardening
Sophos empêche la manipulation des processus en érigeant des barrières autour des zones mémoire critiques en matière de sécurité au sein de chaque application.
Des exemples de zones mémoire sensibles sont le PEB (Process Environment Block) et l’espace d’adressage des modules liés à la sécurité comme l’AMSI (Anti-Malware Scan Interface).
Les attaquants visant à usurper l’identité d’un processus inoffensif cachent les paramètres de ligne de commande, désactivent ou exécutent du code arbitraire dans son propre espace d’adressage (ou celui d’un autre processus) et falsifient régulièrement du code ou des données dans ces zones sensibles.
En les protégeant, Sophos protège de manière générique contre une large gamme de techniques existantes et futures, utilisées par les adversaires, mettant ainsi automatiquement fin au processus malveillant en détectant l’attaque active en question.
Barrières de sécurité
Sophos installe des barrières de sécurité autour de l’exécution du code. Ces garde-fous empêchent l’exécution du code de circuler entre les sections de code individuelles et d’entrer dans un espace d’adressage qui, bien que faisant partie de l’application d’origine, est censé contenir uniquement des données, également appelé ‘code cave’.
Sophos empêche également activement l’injection APC et l’utilisation de diverses autres fonctions système au moment de l’exécution (runtime) qui ne sont pas utilisées par les applications métier.
En revanche, de nombreuses autres plateformes de protection Endpoint s’appuient principalement sur la détection de techniques d’attaque spécifiques basées sur le code malveillant connu associé, les appels d’instruction séquentielle spécifique et le contexte de distribution. Par conséquent, ces plateformes peuvent fournir une protection inefficace si l’auteur du malware réorganise son code et sa distribution.
Conclusion
Lorsqu’elle est déployée correctement, la technologie AMTD ajoute une couche de défense inestimable contre les APT (Advanced Persistent Threats), les attaques basées sur les exploits et bien sûr les ransomwares.
Sophos Endpoint utilise les technologies AMTD au niveau des systèmes endpoint pour améliorer automatiquement la résilience de toutes les applications sans avoir besoin de configuration, de modification du code source ou d’évaluation de compatibilité.
La technologie AMTD transforme fondamentalement l’environnement informatique, plaçant ainsi la barre toujours plus haut en introduisant davantage d’incertitude et de complexité pour les attaquants. Pour conclure, les systèmes endpoint protégés par Sophos résistent mieux aux attaques.
Billet inspiré de Pioneering Automated Moving Target Defense (AMTD), sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.