27 solutions de protection contre les voleurs de données et les rançongiciels mises au banc d’essai

Technique d’attaque n°1 : Inline Execute-Assembly

En termes très simples, « Inline Execute-Assembly » est un processus Windows normalement inoffensif détourné dans un environnement d’exécution .NET. Un processus est sélectionné, doté d’un code malveillant, puis démarré. De plus, l’interface d’analyse de logiciel anti-programmes malveillants (Antimalware Scan Interface, AMSI) est contournée. Il s’agit de l’interface fournie par Microsoft et utilisée par les suites de sécurité. En outre, le suivi des événements pour Windows (Event Tracing for Windows, ETW) est paralysé afin que le déroulement du processus ne puisse plus être suivi. Si tout se passe bien, la voie est libre pour le programme malveillant. Une suite antivirus efficace peut toutefois empêcher d'autres dommages, par exemple que les données soient volées ou cryptées.

Technique d’attaque n°2 : SetWindowsHookEx DLL Injection

L’injection DLL est utilisée par les attaquants pour éviter qu’ils soient découverts. Cette technique consiste à exécuter un code malveillant dans le contexte d’un autre processus Windows légitime. Pour y parvenir, il existe différentes possibilités. Une technique plutôt discrète consiste à installer un processus « accroché » sur tout le système (hook, c’est-à-dire « crochet » ou « hameçon ») à l’aide d’une procédure d’hameçonnage qui est contenue dans une DLL malveillante. Chaque processus accroché qui traite l’opération indiquée télécharge également la DLL malveillante, et permet à l’attaquant d’exécuter son propre code au sein du processus concerné. Dans nos exemples, cette technique est employée pour exécuter un vol d’informations ou un rançongiciel dans explorer.exe.

Technique d’attaque n°3 : Mavinject LOLBin

« Microsoft Application Virtualization Injector » (mavinject.exe) est un programme de Microsoft livré en série avec les récentes versions (mises à jour) de Windows. Il peut être utilisé pour injecter des DLL dans des processus externes. Ce fichier binaire est une application officielle portant la signature numérique de Windows, ce qui rend les injections dans les processus avec cette application plus discrètes que les autres techniques. Dans nos exemples, cette technique est employée pour exécuter un vol d’informations ou un rançongiciel dans explorer.exe ou pour exécuter une application notepad.exe nouvellement démarrée.

Technique d’attaque 4 : Binary Padding

Ou encore « remplissage binaire » : cette technique permet aux attaquants de modifier le programme malveillant. Ils remplissent le fichier avec des données inutiles pour tromper les scanners de logiciels malveillants. Ainsi, il arrive que le fichier soit si rempli que sa taille devient trop importante pour beaucoup de scanners. En raison du contenu qui change en permanence, le programme malveillant présente toujours des valeurs de hachage modifiées. De cette manière, il n’est pas détecté par les listes de blocage basées sur les valeurs de hachage ni par les signatures antivirus statiques. Dans nos scénarios d’attaque, un fichier DLL est écrit sur le disque dur, et rempli avec un nombre aléatoire de 0-octets (30 à 60 Mo) avant d’être utilisé dans des étapes ultérieures.

Les 10 scénarios utilisés pour le test

Tous les scénarios d’attaque sont documentés selon la norme de la base de données MITRE ATT&CK. Les différentes sous-rubriques, par ex. « T1566.001 », correspondent dans la base de données Mitre à « Techniques » sous le point « Phishing: Spearphishing Attachment ». Ainsi, chaque étape du test est définie entre les spécialistes et peut être mieux retracée. De plus, toutes les techniques d’attaque sont expliquées, ainsi que la manière dont les logiciels malveillants opèrent.

Comment fonctionnent les voleurs de données et les rançongiciels

Lors du test Advanced Threat Protection, le laboratoire travaille de la même façon que lors d’une attaque réelle : les attaquants accèdent au système Windows par le biais d’un e-mail d’hameçonnage. Les systèmes de défense détectent l’attaquant soit immédiatement, soit dès qu’il s’active. Si tel est le cas, l’attaque est d’ores et déjà neutralisée. Dans les graphiques, ce résultat est confirmé par un champ vert sous « Initial Access » ou « Execution ». Dans le cas contraire, les attaquants se mettent au travail : les voleurs de données collectent des informations sur les données afin de les « exfiltrer » ensuite sur un serveur C2. Le rançongiciel collecte certes aussi des informations, mais n’envoie en général qu’une liste de fichiers au serveur C2. Ensuite, le cryptage des données commence. Une fois le cryptage complet terminé, un fichier texte apparaît sur l’écran pour demander une rançon à l’utilisateur.

Une particularité dans ce test : le laboratoire attribue les points lorsque les suites de sécurité détectent les étapes d’attaque marquantes. Cela représente 4 points pour les voleurs de données et 3 points pour les rançongiciels. Pour ce test, le score de protection maximal est donc de 35 points (5 x 4 points + 5 x 3 points).

Une explication plus détaillée des tableaux évaluatifs et des différents codes couleur sous forme de feu de signalisation se trouve dans l’article « Test et étude : les logiciels de sécurité sont-ils efficaces contre les ransomwares actuels sous Windows 11 ? ».

Protection avancée pour les utilisateurs particuliers

Les 12 produits soumis au test Advanced Threat Protection sont les produits d’AhnLab, Avast, AVG, Avira, Bitdefender, F-Secure, Kaspersky, Malwarebytes, McAfee, Microsoft, Microworld et PC Matic.

Presque toutes les suites de sécurité pour utilisateurs affichent un résultat parfait à l’issue du test contre les voleurs de données et les rançongiciels, totalisant les 35 points au score de protection.

Seul Avira doit s’avouer vaincu face à un rançongiciel dans l’un des 10 scénarios. L’outil de protection n’a détecté l’attaquant ni lors de son entrée sur le système ni lors de son exécution. Résultat : un cryptage de tout le système et une demande de rançon affichée sur l’écran. Avira n’obtient donc que 32 points sur 35.

Tous les produits pour utilisateurs finaux se voient attribuer le certificat « Advanced Certified » puisqu’ils ont atteint au minimum 75 pour cent des 35 points (soit 26,3 points) comme score de protection.

Protection avancée pour les entreprises

Les 15 suites de sécurité pour entreprises mises au banc d’essai sont celles des fabricants Acronis, AhnLab, Avast, Bitdefender (avec deux versions), Check Point, Kaspersky (avec deux versions), Malwarebytes, Microsoft, Seqrite, Symantec, VMware, WithSecure et Xcitium.

Le résultat final s’apparente à un petit feu d’artifice : tous les produits passent le test avec succès, réalisant un sans-faute dans les 10 scénarios mettant en scène les voleurs de données et les rançongiciels.

Les produits totalisent donc tous les 35 points au score de protection, et obtiennent en plus le certificat « Advanced Approved Endpoint Protection ». Le produit d’Acronis est la seule exception. Il a certes réussi le test sans erreur, mais seuls les produits qui sont certifiés lors des tests mensuels réguliers et qui remplissent les critères ici obtiennent le certificat.

Des produits qui offrent une protection fiable – même contre les techniques d’attaque récentes

Les attaquants ne laissent aucune marge d’erreur à une suite antivirus. Mais même lorsque les techniques d’attaque sont perfides et les programmes malveillants récents, les suites de ce test réalisent une performance remarquable : elles repoussent chacune des attaques sur l’ensemble du test – à une exception près.

Au final, 26 produits sur les 27 testés obtiennent le score de protection maximal de 35 points au test Advanced Threat Protection réalisé en mai/juin 2023. Une vraie surprise à laquelle on ne s’attend pas forcément lors d’un test.