Malproxie: laissez vos logiciels malveillants à la maison

La protection des terminaux joue un rôle essentiel dans
la pile de sécurité organisationnelle moderne. Pourtant, la nature même de cette sécurité
modèle est fondamentalement défectueux. Solutions de sécurité des terminaux et malveillants
acteurs qui tentent de les violer, sont enfermés dans un jeu perpétuel de chat et
Souris. Chaque partie doit continuellement s’adapter et réagir aux tactiques de l’autre.
Et, malheureusement pour les spécialistes de la sécurité organisationnelle, les règles du jeu
est radicalement déséquilibré.

Les solutions de sécurité et les professionnels doivent
maintenir une protection parfaite des points d’extrémité; les pirates, quant à eux, n’ont besoin que d’un seul
tentative réussie de causer des dommages extraordinaires. Pourtant, les solutions de sécurité
ont un point en leur faveur: l’évasion de sécurité des terminaux la plus courante
les techniques nécessitent une mise à jour constante qui limite le bassin d’attaquants et la
échelle à laquelle les attaques sont lancées.

Cela conduit à un troublant
question – et s’il existait une technique permettant aux attaquants d’échapper à la défense
mécanismes tout en nécessitant peu d’ajustements au code malveillant?
C’était le sujet d’une récente présentation bien reçue que j’ai faite avec mon
collègue chercheur en sécurité Hila Cohen à DEF CON 27 à Las Vegas, Nevada.

Examinons de plus près cette technique
et ses implications pour la sécurité des terminaux.

L’état actuel de la sécurité des terminaux

Les solutions de sécurité existantes utilisent trois
mécanismes pour maintenir la protection:

  • Signatures statiques – ceux-ci peuvent être un simple hachage d’une séquence
    d’octets dans un fichier. Les signatures signent les segments de fichier (ou blocs de mémoire), permettant
    une vérification par rapport aux IOC (indicateurs de compromis) courants pour voir si le fichier est
    infecté.
  • Règles heuristiques – ces règles peuvent inspecter le
    liste des fonctions, utilisations exécutables, tailles et structure des sections, et bien d’autres
    propriétés, y compris l’entropie. Les règles heuristiques tentent de discerner les propriétés
    qui sont courants parmi les fichiers malveillants mais n’existent pas dans les exécutables sûrs. Ils
    ne sont pas basés sur les CIO et n’examinent pas les séquences binaires ou les hachages inclus dans
    la catégorie de signature statique.
  • Signatures comportementales -celles-ci
    les signatures tentent d’identifier, d’évaluer et de bloquer toute activité malveillante.
    En raison des limites des signatures statiques et des règles heuristiques, infectées
    les fichiers sont souvent mal classés comme sûrs. Les signatures comportementales prennent un autre
    car elles sont basées sur une séquence opérationnelle exécutée dans le système,
    plutôt que l’implémentation d’une logique malveillante.

Comme mentionné ci-dessus, la protection des terminaux
les solutions présentent diverses faiblesses. Les attaquants peuvent changer les CIO,
propriétés et comportement des fichiers malveillants, leur permettant d’échapper à la détection
et mise en quarantaine. Cependant, ces techniques sont très manuelles et nécessitent des
expertise, ce qui rend difficile pour les attaquants de mettre en œuvre à grande échelle.

Il existe cependant une autre approche permettant
le contournement de la sécurité des points finaux sans avoir besoin de main-d’œuvre ou de
expertise: Malproxying.

Comment fonctionne la lutte contre la corruption

Le modèle opérationnel central du point final
les solutions de sécurité sont simples: identifier et analyser le code, puis classer et
(potentiellement) bloquer. Et si un attaquant pouvait obscurcir complètement ce code?

C’est la prémisse de la corruption
technique, qui évite de déployer du code malveillant sur les machines cibles et
sépare donc ce code de toute interaction avec le fonctionnement cible
système. Voici comment ça fonctionne:

Un morceau de code interagit avec son fonctionnement
système et environnement via un ensemble d’appels API. L’attaquant redirige ceux
Les appels d’API, et au lieu de les exécuter sur son système d’exploitation, il les proxy
via le réseau à la machine cible. Ainsi, le code malveillant réside sur le
côté attaquant, où il n’est surveillé par aucune solution de sécurité (comme le
l’attaquant contrôle complètement l’environnement), mais les actions effectuées par
ce code malveillant interagit réellement avec l’environnement cible, ce qui lui permet
pour contourner les mécanismes communs de protection de la sécurité des points finaux. Le code malveillant,
en attendant, ne peut pas dire qu’il n’a pas été exécuté sur la machine ciblée.

À un niveau plus profond, la technique implique deux
composants clés: talons attaquant et cible. Le code de l’attaquant se charge et s’exécute
des instructions malveillantes, contrôle ses appels de fonction API et les redirige
un tunnel réseau vers le talon cible.

Le code cible semble innocent et n’a pas
activité malveillante précodée. Il reçoit les requêtes et paramètres API,
exécute ces demandes et renvoie les résultats au talon de l’attaquant.
Ces résultats sont renvoyés au code malveillant, de la manière exacte qu’ils
être retourné si le code malveillant avait appelé les fonctions API localement. le
un code malveillant ignore totalement le long chemin parcouru par la réponse
jusqu’à ce qu’il soit arrivé à destination.

Lutter contre la corruption

La technique de suppression du proxénétisme est conçue pour
éluder les principaux mécanismes utilisés par les solutions de détection des points d’extrémité. La cible
stub ne contient aucune logique malveillante dans sa forme de base, ce qui le rend difficile à
identifier et facile à modifier s’il est capturé. Signatures statiques et règles heuristiques
sont facilement contournés.

Les signatures comportementales, cependant, sont un autre
matière. En fin de compte, une séquence «malveillante» d’appels API doit être
exécuté sur la machine cible pour atteindre les objectifs malveillants de l’attaquant. UNE
un outil de surveillance sophistiqué peut détecter ce flux malveillant et déclencher une
alarme. Cela invite simplement à une autre bataille prolongée entre le chat et la souris,
les attaquants doivent trouver de nouvelles façons de rendre très difficile pour les outils de surveillance
assembler la trace de leurs actions malveillantes.

Par exemple, un attaquant pourrait déclencher
Appel de fonction API dans un thread différent, ce qui rend la sécurité plus difficile
solutions pour identifier un flux de code unique pour vérifier s’il est malveillant ou
ne pas. Deuxièmement, l’attaquant pourrait contourner les points de détection, où la sécurité
solution suit l’activité de notre processus. Une fois ces points de détection
contournée, la solution de sécurité est aveugle à toute activité basée sur l’API.

Amélioration et raffinement continus de
les capacités de détection comportementale représentent une meilleure option. Actions déclenchées
par une logique malveillante peut être suivi à l’aide de diverses techniques pour garantir que les appels
sont entièrement suivis. En créant un journal plus robuste de la fonction système exécutée
appels – et les signatures qui définissent les comportements malveillants – les organisations peuvent
développer une ligne de défense plus viable contre cette nouvelle technique d’attaque.

Amit Waisel, responsable technologique principal en recherche sur la sécurité, XM Cyber

La poste Malproxie: laissez vos logiciels malveillants à la maison est apparu en premier sur SC Media.

Source

A propos admin

Découvrez également

Cet accord Pluralsight vous permet d’apprendre gratuitement de nouvelles compétences à domicile en avril

Il y a de fortes chances que vous passiez beaucoup plus de temps à la …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *