Barracuda full logo

Malware 101 : Détection et remédiation

Thèmes:
21 déc. 2023
|
Jonathan Tanner

Chacun sait qu’en matière de cybersécurité, un pirate suffisamment déterminé et aguerri trouve presque toujours le moyen d’atteindre son objectif. Aucune solution de sécurité ne peut tout détecter. Même avec une approche robuste et multicouche intégrant de nombreuses mesures, il existe toujours un point de défaillance qui peut être exploité. En outre, le rapport coût/bénéfice commence à diminuer considérablement à un moment donné.

Prenons l’exemple de VirusTotal : la majorité des malwares courants sont détectés par au moins la moitié des solutions antivirus de la plateforme (le nombre de détections augmentant généralement à mesure que l’échantillon reste longtemps en circulation). Cependant, il se peut que des échantillons plus sophistiqués ne soient détectés que par une ou deux solutions à un stade précoce, ce qui n’est pas forcément révélateur de la qualité de la solution, mais plutôt du fait qu’elles l’ont découvert et analysé plus tôt que les autres. Non seulement il n’est pas très rentable d’acheter des licences pour plus de 40 solutions antivirus pour chaque machine sur le réseau, mais la configuration système requise sur un ordinateur standard rendrait probablement impossible toute action, car le logiciel de sécurité s’emparerait de toutes les ressources disponibles.

Même si vous achetez tous les produits de sécurité préventive de la planète, quelque chose finira par passer. C’est principalement pour cette raison que Barracuda a acquis SKOUT (qui est désormais notre offre XDR), car ce type de solution permet de détecter et de neutraliser les menaces qui parviennent à obtenir un accès initial au réseau d’un client. La protection multicouche est plus une question d’adéquation des couches que de nombre de couches (repensez à l’exemple de VirusTotal).

Détection des malwares ayant traversé les défenses

Lorsqu’un malware est parvenu à contourner les mesures de sécurité, le travail de la défense n’est pas pour autant terminé. En fonction des objectifs du pirate, le malware a besoin d’un certain temps pour atteindre ses cibles ou, dans le cas des malwares persistants, il n’y a pas de moment précis où le malware atteint ses cibles et cesse de causer d’autres dommages. C’est là une possibilité de détecter les comportements malveillants lorsqu’ils se produisent sur un système ou un réseau afin de limiter les dommages qu’ils peuvent causer.

Tout malware qui exfiltre des données, y compris les nombreuses variantes de ransomware qui circulent de nos jours, crée un signal qui peut être détecté (c’est-à-dire les données en cours de transfert). La capacité à détecter ces signaux et à réagir rapidement peut avoir un impact considérable sur l’ampleur des dégâts que les malwares peuvent causer. Même s’il existe une certaine exposition, l’ampleur de l’attaque peut être réduite. Il vaut mieux qu’un pirate exfiltre 10 % d’un data store particulier que 100 % des données. De plus, en cas d’exfiltration par un ransomware, le nombre de fichiers qui finissent par être chiffrés peut aussi être réduit. Outre les signaux émis sur le réseau, les malwares en génèrent aussi sur le système infecté, tels que les modifications apportées, voire les erreurs qui peuvent figurer dans les journaux. Ces signaux sont le moyen le plus efficace de détecter une attaque en train de se produire.

Étapes d’élimination des malwares

Qu’une menace soit détectée et stoppée ou qu’elle atteigne ses objectifs, une procédure de remédiation s’impose, spécifique à l’incident et à l’étendue des dommages causés. Les malwares doivent être supprimés de tous les systèmes qu’ils ont touchés, en fonction là aussi des spécificités de l’incident, certains malwares étant plus faciles à éliminer que d’autres. Les backups de données jouent ici un rôle important, pas seulement dans le cas des ransomwares. Il peut être nécessaire ou simplement plus facile de restaurer une image du ou des systèmes ou éventuellement de les remplacer afin de s’assurer qu’il ne reste aucune trace d’infection.

Si ces systèmes contenaient des données critiques déjà sauvegardées, il est beaucoup plus facile et plus sûr de les réintégrer dans les systèmes. Même si les données sont intactes, le fait d’essayer de les sauvegarder quelque part après coup risque de faire réapparaître certains vestiges de l’attaque dans le système. Dans le cas des ransomwares, les backups peuvent être le seul moyen de récupérer les données en dehors du paiement de la rançon, ce qui n’est pas recommandé pour plusieurs raisons, notamment le risque que le paiement ne permette pas de récupérer les données.

Les malwares peuvent apporter de nombreuses modifications aux systèmes qu’ils infectent, en particulier en modifiant ou en supprimant des clés de registre sous Windows, en modifiant des fichiers système existants, en ajoutant ou en supprimant des entrées dans les scripts de démarrage, en exposant des ports et en désactivant les protocoles de sécurité du système. Si la restauration de l’image système n’est pas la solution choisie, ces modifications doivent être annulées pour récupérer complètement le système, en plus de supprimer les fichiers malveillants eux-mêmes. Il est essentiel de comprendre quels changements ont été apportés et cela dépend souvent de la variante du malware en question, car le comportement est généralement le même d’une attaque à l’autre.

Étant donné la multitude de modifications qu’un malware peut effectuer sur un système, il est facile de comprendre pourquoi restaurer l’image système est souvent l’option la plus simple, ou son remplacement complet lorsque le firmware a été infecté, plutôt que d’effectuer simplement des modifications sur les disques. Même avec une analyse basée sur les signatures, en particulier avec des solutions qui téléchargent des fichiers pour une analyse à distance, il peut y avoir un délai entre le moment où le malware atteint pour la première fois un système et sa détection. Un malware détecté et mis en quarantaine par un logiciel de sécurité peut quand même être parvenu à modifier le système. Il convient donc d’effectuer des vérifications avant de supposer que le système est intact.

Défenses multicouches

La défense contre les malwares est multifactorielle, comme pour tout autre type d’attaque. Les malwares peuvent constituer la totalité ou la majeure partie d’une attaque, ou être associés à d’autres techniques d’agression. Même si nous avons abordé de nombreux aspects de la défense, il ne s’agit en aucun cas d’une liste exhaustive de tous les types de mesures de protection disponibles.

Chaque organisation doit considérer ses niveaux de défense en fonction de ses propres contraintes comme le risque, le budget, le temps qui est ou peut être consacré aux efforts de sécurité, le nombre de personnes qui y participent activement, etc. afin de déterminer quelle est la meilleure défense contre les attaques. Cette série vous a donné un aperçu des différentes menaces de malware qui existent et des moyens potentiels de vous en protéger, et j’espère qu’elle vous aidera dans vos décisions.

Vous pouvez lire le reste de la série Malwares 101 ici

Jonathan Tanner

Jonathan est chercheur senior en sécurité chez Barracuda Networks. Connectez-vous avec lui sur LinkedIn.

Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
 Confinement rapide des menaces : Barracuda Managed XDR ajoute une réponse automatisée aux menaces pour Microsoft et Google
Confinement rapide des menaces : Barracuda Managed XDR ajoute une réponse automatisée aux menaces pour Microsoft et Google
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.