04 octobre 2023 | Texte: Markus Selinger | Antivirus pour Windows
  • Partager :

27 solutions de protection contre les voleurs de données et les rançongiciels mises au banc d’essai

Les cybercriminels optimisent leurs logiciels malveillants et leurs techniques d’attaque en permanence. Savoir si les produits de sécurité sont à la hauteur et en mesure de repousser même les attaques les plus récentes est donc une question essentielle. Lors de l’actuel test Advanced Threat Protection, AV-TEST a mis des solutions de sécurité à l’épreuve pour voir si elles sont capables d’affronter les voleurs de données et les rançongiciels qui utilisent les techniques d’attaque aussi perfides que Inline Execute-Assembly, SetWindowsHookEx DLL Injection, Mavinject LOLBin ou Binary Padding. Le résultat réserve quelques surprises.

Test Advanced Threat Protection – 27 produits face à des voleurs de données et des rançongiciels
Test Advanced Threat Protection –

27 produits face à des voleurs de données et des rançongiciels

zoom

L’image du développeur de programmes malveillants et du cyberattaquant travaillant dans des sous-sols mal éclairés et lançant une attaque de temps à autre ne correspond pas à la réalité. Ces attaques sont au contraire le fait d’entreprises parfois très bien organisées qui investissent sans cesse dans l’optimisation de leurs programmes malveillants et dirigent elles-mêmes les attaques. Du côté adverse, chez les fabricants de produits de sécurité, on travaille de manière tout aussi méticuleuse à la détection des techniques d’attaque perfides de ces cybercriminels pour mieux les contrer. Mais qui est le meilleur dans cette compétition ? Les fabricants de suites de sécurité peuvent-ils réagir suffisamment rapidement et détectent-ils vraiment toutes les méthodes d’attaque ? Le test actuel de la série Advanced Threat Protection apporte au moins une réponse partielle à ces questions. Oui : les fabricants de suites de sécurité fournissent des produits fiables et performants.

Voleurs de données, rançongiciels et autres techniques redoutables

Le laboratoire a testé 27 produits dans le cadre de son test Advanced Threat Protection réalisé en mai/juin. Lors de ces tests, les experts vont beaucoup plus loin que lors des tests de détection classiques – exactement comme le fait une suite de protection. Car outre la détection pure et simple, les produits utilisent des techniques élaborées pour détecter et contrer les attaques, telles que l’EDR (Endpoint Detection and Response). Il se peut donc qu’une attaque soit repoussée à un stade ultérieur, même si la détection a échoué à la première étape.

Le laboratoire teste chacun des 17 produits pour particuliers et entreprises dans 10 scénarios spéciaux. Lors du test réalisé en mai/juin sous Windows 10, le laboratoire a utilisé 5 scénarios avec des voleurs de données et 5 avec des rançongiciels. Mais ils ne sont pas simplement exécutés. Les attaquants ont recours à diverses techniques d’attaque que nous présentons ici.

Les cartes de scénarios présentées plus bas montrent précisément quelles techniques d’attaque avec un rançongiciel ou un voleur de données parmi celles citées ont été utilisées en laboratoire.

Logiciels de protection soumis au test avancé

11 logiciels de protection sur les 12 testés ont réussi à repousser sans erreur les rançongiciels attaquants ou les voleurs de données dans les 10 scénarios et obtenu pour cette performance le maximum de 35 points au score de protection

zoom ico
Protection des entreprises contre les rançongiciels et les voleurs de données

Au test actuel Advanced Threat Protection, tous les candidats affichent des résultats parfaits. Tous les 15 produits remportent la note maximale de 35 points au score de protection

zoom ico

1

Logiciels de protection soumis au test avancé

2

Protection des entreprises contre les rançongiciels et les voleurs de données

Technique d’attaque n°1 : Inline Execute-Assembly

En termes très simples, « Inline Execute-Assembly » est un processus Windows normalement inoffensif détourné dans un environnement d’exécution .NET. Un processus est sélectionné, doté d’un code malveillant, puis démarré. De plus, l’interface d’analyse de logiciel anti-programmes malveillants (Antimalware Scan Interface, AMSI) est contournée. Il s’agit de l’interface fournie par Microsoft et utilisée par les suites de sécurité. En outre, le suivi des événements pour Windows (Event Tracing for Windows, ETW) est paralysé afin que le déroulement du processus ne puisse plus être suivi. Si tout se passe bien, la voie est libre pour le programme malveillant. Une suite antivirus efficace peut toutefois empêcher d'autres dommages, par exemple que les données soient volées ou cryptées.

Technique d’attaque n°2 : SetWindowsHookEx DLL Injection

L’injection DLL est utilisée par les attaquants pour éviter qu’ils soient découverts. Cette technique consiste à exécuter un code malveillant dans le contexte d’un autre processus Windows légitime. Pour y parvenir, il existe différentes possibilités. Une technique plutôt discrète consiste à installer un processus « accroché » sur tout le système (hook, c’est-à-dire « crochet » ou « hameçon ») à l’aide d’une procédure d’hameçonnage qui est contenue dans une DLL malveillante. Chaque processus accroché qui traite l’opération indiquée télécharge également la DLL malveillante, et permet à l’attaquant d’exécuter son propre code au sein du processus concerné. Dans nos exemples, cette technique est employée pour exécuter un vol d’informations ou un rançongiciel dans explorer.exe.

Technique d’attaque n°3 : Mavinject LOLBin

« Microsoft Application Virtualization Injector » (mavinject.exe) est un programme de Microsoft livré en série avec les récentes versions (mises à jour) de Windows. Il peut être utilisé pour injecter des DLL dans des processus externes. Ce fichier binaire est une application officielle portant la signature numérique de Windows, ce qui rend les injections dans les processus avec cette application plus discrètes que les autres techniques. Dans nos exemples, cette technique est employée pour exécuter un vol d’informations ou un rançongiciel dans explorer.exe ou pour exécuter une application notepad.exe nouvellement démarrée.

Technique d’attaque 4 : Binary Padding

Ou encore « remplissage binaire » : cette technique permet aux attaquants de modifier le programme malveillant. Ils remplissent le fichier avec des données inutiles pour tromper les scanners de logiciels malveillants. Ainsi, il arrive que le fichier soit si rempli que sa taille devient trop importante pour beaucoup de scanners. En raison du contenu qui change en permanence, le programme malveillant présente toujours des valeurs de hachage modifiées. De cette manière, il n’est pas détecté par les listes de blocage basées sur les valeurs de hachage ni par les signatures antivirus statiques. Dans nos scénarios d’attaque, un fichier DLL est écrit sur le disque dur, et rempli avec un nombre aléatoire de 0-octets (30 à 60 Mo) avant d’être utilisé dans des étapes ultérieures.

Les 10 scénarios utilisés pour le test

Tous les scénarios d’attaque sont documentés selon la norme de la base de données MITRE ATT&CK. Les différentes sous-rubriques, par ex. « T1566.001 », correspondent dans la base de données Mitre à « Techniques » sous le point « Phishing: Spearphishing Attachment ». Ainsi, chaque étape du test est définie entre les spécialistes et peut être mieux retracée. De plus, toutes les techniques d’attaque sont expliquées, ainsi que la manière dont les logiciels malveillants opèrent.

01
zoom ico
02
zoom ico
03
zoom ico
04
zoom ico
05
zoom ico
06
zoom ico
07
zoom ico
08
zoom ico
09
zoom ico
10
zoom ico

1

01

2

02

3

03

4

04

5

05

6

06

7

07

8

08

9

09

10

10

Comment fonctionnent les voleurs de données et les rançongiciels

Lors du test Advanced Threat Protection, le laboratoire travaille de la même façon que lors d’une attaque réelle : les attaquants accèdent au système Windows par le biais d’un e-mail d’hameçonnage. Les systèmes de défense détectent l’attaquant soit immédiatement, soit dès qu’il s’active. Si tel est le cas, l’attaque est d’ores et déjà neutralisée. Dans les graphiques, ce résultat est confirmé par un champ vert sous « Initial Access » ou « Execution ». Dans le cas contraire, les attaquants se mettent au travail : les voleurs de données collectent des informations sur les données afin de les « exfiltrer » ensuite sur un serveur C2. Le rançongiciel collecte certes aussi des informations, mais n’envoie en général qu’une liste de fichiers au serveur C2. Ensuite, le cryptage des données commence. Une fois le cryptage complet terminé, un fichier texte apparaît sur l’écran pour demander une rançon à l’utilisateur.

Une particularité dans ce test : le laboratoire attribue les points lorsque les suites de sécurité détectent les étapes d’attaque marquantes. Cela représente 4 points pour les voleurs de données et 3 points pour les rançongiciels. Pour ce test, le score de protection maximal est donc de 35 points (5 x 4 points + 5 x 3 points).

Une explication plus détaillée des tableaux évaluatifs et des différents codes couleur sous forme de feu de signalisation se trouve dans l’article « Test et étude : les logiciels de sécurité sont-ils efficaces contre les ransomwares actuels sous Windows 11 ? ».

Protection avancée pour les utilisateurs particuliers

Les 12 produits soumis au test Advanced Threat Protection sont les produits d’AhnLab, Avast, AVG, Avira, Bitdefender, F-Secure, Kaspersky, Malwarebytes, McAfee, Microsoft, Microworld et PC Matic.

Presque toutes les suites de sécurité pour utilisateurs affichent un résultat parfait à l’issue du test contre les voleurs de données et les rançongiciels, totalisant les 35 points au score de protection.

Seul Avira doit s’avouer vaincu face à un rançongiciel dans l’un des 10 scénarios. L’outil de protection n’a détecté l’attaquant ni lors de son entrée sur le système ni lors de son exécution. Résultat : un cryptage de tout le système et une demande de rançon affichée sur l’écran. Avira n’obtient donc que 32 points sur 35.

Tous les produits pour utilisateurs finaux se voient attribuer le certificat « Advanced Certified » puisqu’ils ont atteint au minimum 75 pour cent des 35 points (soit 26,3 points) comme score de protection.

Protection avancée pour les entreprises

Les 15 suites de sécurité pour entreprises mises au banc d’essai sont celles des fabricants Acronis, AhnLab, Avast, Bitdefender (avec deux versions), Check Point, Kaspersky (avec deux versions), Malwarebytes, Microsoft, Seqrite, Symantec, VMware, WithSecure et Xcitium.

Le résultat final s’apparente à un petit feu d’artifice : tous les produits passent le test avec succès, réalisant un sans-faute dans les 10 scénarios mettant en scène les voleurs de données et les rançongiciels.

Les produits totalisent donc tous les 35 points au score de protection, et obtiennent en plus le certificat « Advanced Approved Endpoint Protection ». Le produit d’Acronis est la seule exception. Il a certes réussi le test sans erreur, mais seuls les produits qui sont certifiés lors des tests mensuels réguliers et qui remplissent les critères ici obtiennent le certificat.

Des produits qui offrent une protection fiable – même contre les techniques d’attaque récentes

Les attaquants ne laissent aucune marge d’erreur à une suite antivirus. Mais même lorsque les techniques d’attaque sont perfides et les programmes malveillants récents, les suites de ce test réalisent une performance remarquable : elles repoussent chacune des attaques sur l’ensemble du test – à une exception près.

Au final, 26 produits sur les 27 testés obtiennent le score de protection maximal de 35 points au test Advanced Threat Protection réalisé en mai/juin 2023. Une vraie surprise à laquelle on ne s’attend pas forcément lors d’un test.

Particuliers 06/2023

V3 Internet Security
Free Antivirus
Internet Security
Internet Security for Windows
Internet Security
Standard
Premium
Total Protection
Defender Antivirus (Consumer)
eScan Internet Security Suite
Application Allowlisting

Solutions pour Entreprises 06/2023

Cyber Protect
V3 Endpoint Security
Ultimate Business Security
Endpoint Security
Endpoint Security (Ultra)
Endpoint Security
Endpoint Security
Small Office Security
Endpoint Protection
Defender Antivirus (Enterprise)
Endpoint Security
Endpoint Security Complete
Carbon Black Cloud
Elements Endpoint Protection
Client Security

Social Media

Nous voulons rester en contact avec vous !  Recevez simplement et régulièrement les dernières informations et les publications de test.