Détection des attaques de virus

Analyse des attaques Dridex

Depuis le 2 aout 2014, nous avons mis en place au sein même du moteur ALTOSPAM un système de détection automatique de fichiers suspects. Ce système est basé sur l’analyse à la volée des signatures de fichiers transitant sur nos plateformes. Il permet d’identifier en temps réel la présence de fichiers dits « suspects » : il s’agit par exemple de fichiers (identifiés uniquement via leur signature pour des raisons de confidentialité du contenu) provenant de réseaux différents et transmis à plusieurs réseaux distincts, ou encore de fichiers compressés. La présence de fichiers suspects dans un email nous permet de lever des règles spécifiques qui vont déclencher des analyses et des vérifications plus poussées afin de pouvoir éventuellement bloquer les emails concernés s’il s’agit de spams ou de virus inconnus de nos 5 antivirus.

Ce système contribue aussi à détecter des attaques de grande ampleur et nous permet d’analyser le comportement de nos propres systèmes face à celles-ci. Ainsi, par exemple, si des emails, spécifiques à l’attaque en cours, arrivent à passer chez certains de nos clients, nous sommes immédiatement informés afin de pouvoir gérer la situation et agir très rapidement.

 

Le graphique ci-dessous fait apparaitre le nombre de fichiers suspects identifiés tous les jours depuis la mise en place de ce système novateur. De ce fait, nous mettons en évidence des vagues d’attaques. Ces dernières correspondent à des attaques de virus de tous types, mais les vagues d’indésirables les plus importantes sont celles de type Dridex. Sur ces attaques, des fichiers de type Microsoft Office sont utilisés pour télécharger des payloads directement ou indirectement via des macros vbs (détails sur ces attaques dans notre article : https://www.altospam.com/actualite/2015/07/vagues-dattaques-facture-macro-word-virus-dridex/ )

 

Attaques-dridex

 

Les pics d’attaques ont été déclenchés par ordre d’importance les : 27/10/2015, 20/07/2015, 23/07/2015, 16/07/2015 et 15/07/2015 qui correspondent précisément à de grosses vagues d’invasions par le virus Dridex. La première vague a commencé (gentiment) le 8 juin 2015, avec un pic principal sur la 3ème semaine de juillet. La seconde vague plus concentrée s’est située dernière semaine d’octobre 2015. Trois mois ont été nécessaires aux pirates pour améliorer leur ransomware et lancer une nouvelle attaque plus agressive et mieux contrôlée (mails parfaitement maitrisés : orthographe, titre et contenu choisis minutieusement pour un plus grand taux d’ouverture).

 

Avec l’arrivée de nouvelles versions de ransomwares comme CrytoWall 4 (détails sur https://www.altospam.com/actualite/2015/11/attention-au-malware-cryptowall-4-0/ ) une troisième vague d’ici quelques mois est à envisager. Nous pouvons nous préparer, comme nous l’avons remarqué dans le cas des virus dits traditionnels, à ce que ces attaques soient encore plus concentrées dans le temps et plus dangereuses. Il arrive que certaines attaques de virus ‘traditionnels’ durent moins de 2 heures, d’où la nécessité d’un système non uniquement basé sur des antivirus à base de signatures…

 

C’est pourquoi, en plus de ce système de détection de fichiers suspects, nous avons mis en place une véritable forteresse antivirus dont le but est de bloquer aussi bien les virus connus qu’inconnus (détails sur cette forteresse antivirus : https://www.altospam.com/actualite/2014/02/la-forteresse-daltospam-les-malwares/ ). Nous avons amélioré cette forteresse début novembre 2015 par la mise en place d’un système d’analyse en temps réel des macros contenues dans les fichiers Microsoft Office afin d’être encore plus performant dans la détection de fichiers suspects et d’emails dangereux. Ce système intègre notamment un algorithme de désobfuscation des codes et d’analyse de scripts. La présence d’éléments spécifiques dans la macro sont identifiés pour perfectionner notre moteur d’analyse antispam et bloquer ainsi les emails contenant des fichiers dangereux.

Détection des attaques de virus
4.8 (96%) 5 votes