Sandbox, intérêts et limites pour détecter les nouveaux malwares

VIRUS-00035-altospam

Le sandboxing et son contournement par les evading-malwares

On assiste, ces dernières années, à des apparitions, en nombre exponentiel, de virus et de malwares. Les cybercriminels développent chaque jour des logiciels malveillants et de nouvelles techniques pour infiltrer les serveurs, les sites web et les messageries électroniques. 

L’histoire des malwares est à la fois riche et très complexe ! Grâce au progrès technologique, la création d’un virus informatique devient à la portée de tout le monde. De plus, de nombreux outils informatiques, longtemps utilisés pour assurer la cybersécurité, sont aujourd’hui exploités par les pirates informatiques pour réaliser des attaques en masse.

Vous avez certainement entendu parler de sandbox. Cet anglicisme peut être traduit par « bac à sable ». Il s’agit d’une technique utilisée en sécurité informatique et basée sur la réalisation d’une isolation entre les logiciels et les systèmes d’exploitation hôtes.

Cette technique a pour objectif de détecter les cyberattaques. Cette procédure permet également de créer un environnement sécurisé pour tester le comportement d’un logiciel. On parle ainsi du « sandboxing », c’est-à-dire, la protection d’un logiciel ou d’un système d’exploitation des logiciels malveillants.

Malgré le progrès considérable en matière de sécurité informatique, les cybercriminels ont réussi à créer des malwares capables de détecter les environnements sécurisés (sandbox) et causer des dommages.

Concrètement, qu’est-ce que le sandboxing ?

Ce terme « sandboxing » est souvent utilisé par les professionnels de la sécurité informatique pour désigner la création d’un environnement sécurisé pour développer et pour tester des logiciels le plus souvent de manière automatisée.

Cet environnement est donc utilisé par les analystes et les chercheurs en cybersécurité pour bloquer les logiciels malveillants.

L’environnement sandbox peut également être utilisé pour tester les malwares et ainsi anticiper les risques avec la mise en place d’un ensemble d’actions préventives. En effet, les applications potentiellement dangereuses peuvent être exécutées en toute sécurité via la sandbox et sur une machine virtuelle. Ce processus pouvant être automatisé : exécution d’un fichier en environnement virtuel puis analyse de son comportement et ses interactions avec l’extérieur.

Certaines personnes utilisent également le bac à sable pour naviguer sur le web en toute sécurité. Il existe même des antivirus équipés de « sandbox » pour offrir aux utilisateurs une meilleure sécurité informatique. Dans ce cas, l’environnement est isolé du système.

L’ajout d’une couche de sécurité supplémentaire grâce au sandbox permet donc d’améliorer la sécurité.

Malgré l’efficacité et les avantage du sandbox, les cybercriminels sont parvenus à créer des programmes malveillants capables d’échapper à ce niveau de sécurité. C’est ce que l’on appelle les « sandbox-evading malwares ».

Qu’est-ce qu’un sandbox-evading malware ?

Ce programme malveillant est capable de détecter la nature de l’environnement utilisé : véritable PC, sandbox ou machine virtuelle. Ce type de malware n’exécute son code que s’il est en dehors d’un environnement sécurisé. Le premier malware capable d’échapper au bac à sable est apparu vers la fin des années 1980.

Les nouveaux logiciels malveillants ont la capacité d’éviter la détection par les bacs à sable. Certains d’entre eux, comme « Dyre », sont même capables de compter le nombre de processeurs en exécution pour se protéger contre la sandbox. Ces malwares sont de plus en plus efficaces et dotés de nouvelles technologies de détection de l’environnement.

Les attaques via ce type de logiciels malveillants se sont multipliées ces dernières années. Parmi ces attaques, on peut citer celles de 2016 avec le ransomware Locky, aussi les attaques de 2018 via RogueRobin et celle de 2019 avec Hawkball.

Quelles sont les différentes méthodes d’évasion des malwares d’un bac à sable ?

Ces malwares utilisent des techniques différentes pour détecter la nature de l’environnement dans lequel ils existent avant d’attaquer le hardware, le software ou les informations sur le web (mots de passe, email, comptes bancaires…).

Ce type de malwares est capable d’analyser la nature des interactions entre l’utilisateur et le système (clic de souris, défilement, copier/coller, utilisation du clavier, etc…) ainsi que les spécificités de l’environnement dans lequel il existe (caractéristiques du processeur, de la carte graphique, le nombre de cœur du CPU en exécution, etc). Une fois toutes les informations collectées, le malware décide, ou non, d’exécuter son code et de causer des dommages.

Comment détecter les sandbox-evading malwares ?

La détection de ces programmes malveillants dépend principalement de leurs modes de fonctionnement. Vous souhaitez vous protéger de ces logiciels malveillants et profiter d’une protection optimale ? Comme évoqué précédemment, ces malwares sont programmés pour détecter les spécificités du système et ainsi distinguer entre la sandbox, la machine virtuelle et le vrai système.

Installer un antivirus intégrant une sandbox est intéressant pour se protéger, mais cela doit être en complément d’un système à base de signature comme les antivirus conventionnels. Comme souvent en sécurité informatique, c’est la complémentarité des technologies qui permet une analyse plus fine et assurera une sécurité accrue.

C’est l’action conjointe des différentes techniques de détection (dictionnaires, hashs, analyse heuristique, analyse comportementale, sandboxing, etc), en utilisant diverses méthodes et sources de données qui assurera la plus grande pertinence à votre protection antivirus.

Quelques conseils utiles pour mieux détecter les malwares

  • Réaliser régulièrement une analyse approfondie de tous vos fichiers avec votre antivirus ;
  • N’hésitez pas de temps en temps à utiliser un « live-cd » pour lancer un antivirus sans déparer l’OS natif ;
  • Préférez les antivirus utilisant à la fois un système à base de signature et du sandboxing ;
  • Ne téléchargez des fichiers que depuis des sources fiables.

A une moindre échelle, Windows est également équipé d’une sandbox et de la technologie de virtualisation. Il est donc nécessaire de réaliser les mises à jour pour que le système reste stable et performant en matière de détection.

En ce qui concerne les navigateurs internet, la plupart de ces logiciels utilisent la sandbox de Windows (Mozilla, Edge, Chrome…) pour bloquer les logiciels malveillants. C’est la raison pour laquelle ces navigateurs s’exécutent en plusieurs processus (un processus principal et des sous-processus dans la sandbox).

 

Les pirates essayent en permanence de développer leurs malwares pour qu’ils soient indétectables par les systèmes et les sandbox. Certains malwares sont plus agressifs que d’autres. Lutter contre les nouveaux logiciels malveillants nécessite la mise en place d’une stratégie de protection optimale.

Les malwares disposent aujourd’hui de la capacité de se cacher dans des fichiers inoffensifs et de n’exécuter leurs codes que dans certaines conditions. Contrairement à ce que l’on pourrait croire, la sandbox n’est pas efficace à 100% contre les logiciels malveillants. Ces nouveaux malwares sont plus difficiles à détecter et peuvent entraîner des pertes, financières et de données, considérables. Assurer sa sécurité informatique nécessite donc la mise en place d’une stratégie basée sur un ensemble d’actions préventives, une sécurité basée sur une combinaisons de technologies d’analyse.

Et si vous testiez les solutions d’Altospam?

Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …