Par Laurent Asselin, Directeur technique Exer

Les tentatives d’intrusions malveillantes au sein des réseaux sont devenues à la fois courantes et de plus en plus sophistiquées. Le but est simple, trouver un moyen de contourner les protections mises en place par l’entreprise pour avoir accès au réseau.

Pour atteindre cet objectif, des malwares (comme le très connu Emotet et bien d’autres) sont devenus « polymorphes » ce qui signifie qu’ils changent leur représentation à chaque téléchargement. Grâce à cette technique ils échappent aux solutions de détection basées sur les signatures. Celles-ci sont les plus courantes et même si elles sont très efficaces pour beaucoup de menaces elles sont impuissantes face à un malware polymorphe. Les solutions de détection sont construites sur des bases de signatures qui ont besoin d’un délais de 24 à 48h pour être mise à jour. Elles sont donc très peu utiles pour les attaques 0 days.

Cependant, la bataille n’est pas perdue. Notre partenaire F-Secure vous fournit une arme efficace pour vous protéger : DeepGuard.

DeepGuard surveille les applications afin de détecter tout éventuel changement dangereux apporté au système. DeepGuard veille à ce que vous n’utilisiez que des applications sûres. Il contrôle la sécurité d’une application depuis le service approuvé du cloud. S’il est impossible de déterminer la sécurité d’une application, DeepGuard surveille son comportement.

Sa mission est de bloquer les nouveaux virus et les virus inconnus, les chevaux de Troie, les vers, les attaques et les autres applications dangereuses essayant de modifier votre ordinateur et empêche toute application suspecte d’accéder à Internet.

Nos experts Exer ont fait le test de cet outil pour vous :

Nous avons téléchargé un document infecté, nous remarquons qu’il n’est ni détecté ni bloqué par l’anti-virus classique utilisant les bases de données de signatures

Nous lançons une analyse manuelle du document via la protection anti-virus classique et la signature n’est pas détectée. Cela veut dire que la signature de ce malware n’existe pas encore et n’est pas encore enregistrée dans les bases de données virales.

Le rapport d’analyse nous montre que le document a été analysé mais qu’aucun malware n’y a été détecté sur la base de la recherche de signatures.

A l’ouverture du document nous remarquons qu’un faux message d’erreur a été créé nous demandant d’activer les macros afin de pouvoir avoir accès au document. Les macrosne sont pas nécessaires pour visualiser un fichier, et vous ne devriez jamais avoir à les activer. Pour le test nous choisissons de les activer afin de voir comment se comporte notre protection mais en situation réelle ce n’est à réaliser en aucun cas.

Deepguard prends directement le relais de la protection et bloque toute action de la part de l’application qui est considérée comme suspecte. En ouvrant le process Explorer nous pouvons constater que Deepguard a bloqué les process Powershell enfants de Word.

Dans l’historique d’actions F-Secure nous pouvons remarquer l’action de blocage de l’application réalisé par DeepGuard

Face à l’hétérogénéité des menaces d’intrusion qui pèsent sur nos réseaux, utiliser des protections qui se basent sur des fonctionnements différents devient une nécessité. Les anti-virus se basant sur les signatures peuvent vous protéger dans une grande partie des cas. Cependant pour ajouter une couche supplémentaire de protection un outil d’analyse du comportement peut être une solution efficace pour les malwares polymorphes.

Evidemment les solutions de protection ne peuvent pas garantir une efficacité de 100%. Même si vous êtes bien protégés, n’hésitez pas à impliquer les équipes dans la démarche de sécurité de l’entreprise en les sensibilisant aux bonnes pratiques.