MENU
18 juin 2024 | Texte: Markus Selinger | Antivirus pour Windows
  • Partager :

Dissimuler et ruser : voilà comment les nouveaux programmes malveillants attaquent les systèmes Windows

Les cyberattaquants cherchent et trouvent en permanence de nouveaux moyens d’attaquer les systèmes Windows. C’est pourquoi l’équipe d’AV-TEST contrôle avec son test Advanced Threat Protection si les programmes de protection actuels détectent aussi les tactiques d’attaque les plus récentes. Si ce n’est pas le cas, les attaquants n’en ont pas pour longtemps pour charger des logiciels malveillants et les exécuter. Pour réaliser le test, les experts lancent 10 fois les programmes malveillants les plus récents sur les systèmes. Mais les attaquants rusent et se dissimulent dans des packs MSI, s’exécutent via un interpréteur de script, remplacent les principaux composants d’un processus ou combinent différentes techniques. 21 produits pour utilisateurs particuliers et entreprises ont été confrontés aux défis difficiles que posent les maliciels furtifs. Les résultats montrent que certains produits remplissent parfaitement leur mission. Mais aussi que certains produits font inutilement durer le suspense avant de triompher contre le programme malveillant.

Des malwares dissimulés attaquent Windows – le test Advanced Threat Protection met à l’épreuve les capacités de défense de 21 produits contre les voleurs de données et les ransomwares
Des malwares dissimulés attaquent Windows –

le test Advanced Threat Protection met à l’épreuve les capacités de défense de 21 produits contre les voleurs de données et les ransomwares

zoom

La plupart des cyberattaquants ne se contentent pas d’envoyer un ransomware sur les systèmes qu’ils veulent prendre d’assaut. Ils cherchent par tous les moyens à dissimuler leur malware ou à le propager coûte que coûte. Pour les produits de sécurité, il est indispensable de connaître toutes ces ruses, et même d’anticiper celles à venir. Mais peu importe la manière de faire : au final, l’attaque doit être déjouée.

Les produits pour utilisateurs particuliers des fabricants suivants ont été mis au banc d’essai : Avast, AVG, Bitdefender, ESET, F-Secure, G DATA, McAfee, Microsoft, Microworld, Norton et PC Matic.

Du côté des solutions testées pour entreprises, ce sont les fabricants suivants qui ont participé au test : Avast, Bitdefender (avec 2 versions), Check Point, ESET, HP Security, Kaspersky (avec 2 versions), Qualys et Symantec.

21 produits contre les ransomwares et les voleurs de données

Alors que les tests de détection classiques sur les produits de protection informatique se contentent de contrôler si un programme malveillant est détecté ou non, le test Advanced Threat Protection (ATP) va encore plus loin. Les testeurs conçoivent 10 scénarios d’attaque qui se produisent en permanence dans la réalité. Lors du test actuel, les experts ont essayé 5 fois de placer un ransomware et 5 fois d’exécuter un vol de données ou vol d’informations. Pour ce faire, ils ont utilisé les techniques suivantes pour dissimuler les attaques :

Suites pour particuliers soumises au test avancé

Les ransomwares et les voleurs de données les plus récents utilisent des ruses et des techniques de dissimulation pour attaquer les systèmes Windows. Le test Advanced Threat Protection met en évidence l’efficacité avec laquelle les produits stoppent les attaques

zoom ico
Unternehmens-Produkte im erweiterten Test

Les 10 solutions pour systèmes Windows en entreprise ont affiché de solides performances lors du test. Certes, quelques actions de défenses ultérieures ont été nécessaires, mais dans l’ensemble, aucun programme malveillant n’est parvenu à prendre le dessus

zoom ico

1

Suites pour particuliers soumises au test avancé

2

Unternehmens-Produkte im erweiterten Test

Bring a scripting interpreter : Les attaquants essaient souvent d’utiliser des interpréteurs de script tels que WScript ou PowerShell pour exécuter des scripts malveillants. Or, beaucoup de programmes de protection le savent et surveillent les interpréteurs en conséquence, ainsi que leurs entrées et leurs sorties. Nouvelle variante apparue : l’attaque avec des interpréteurs de logiciels inoffensifs tels que AutoHotkey (AHK). Un script installe l’interpréteur et exécute ensuite un script AHK qui introduit un ransomware ou un voleur de données dans le système Windows. C’est précisément cette variante d’attaque qui a été utilisée dans les scénarios du test.

Microsoft Software Installer : MSI (Microsoft Installer) est un programme Windows pour les processus d’installation qui fournit une application à installer avec les données et les commandes nécessaires dans un pack pour l’ordinateur de l’utilisateur final. Les cyberattaquants dissimulent des fichiers malveillants dans un fichier MSI et donnent des instructions de commande. Cela conduit à une multitude d’options permettant d’infecter les ordinateurs des victimes. La complexité des fichiers MSI peut rendre la détection des programmes d’installation malveillants plus difficile.

Dans nos exemples, les programmes d’installation MSI sont utilisés pour mettre plusieurs fichiers à disposition sur le disque dur, y compris des fichiers trompeurs et malveillants. Une fois les fichiers placés, une action définie par l’utilisateur est utilisée pour exécuter le code malveillant. La séquence d’installation proprement dite est ensuite tout simplement interrompue puisqu’elle n’était qu’un moyen de dissimulation.

Reflective code injection : L’injection de code réfléchie consiste à charger le code dans la mémoire d’un processus. De cette manière, le chargement réfléchissant peut contourner les détections basées sur les processus, car l’exécution du code dangereux est masquée au sein d’un processus légitime et inoffensif. Ce type d’injection de code est donc ainsi sans fichier, puisqu’il ne fait que transférer le code dans un processus.

Dans nos exemples, un script AutoHotkey charge et exécute la charge utile malveillante directement dans la mémoire vive en exécutant un programme de vol d’informations ou un ransomware.

Dans le cadre du test ATP, toutes les étapes de détection et de défense sont enregistrées dans une matrice suivant la norme MITRE ATT&CK. Dans le cas des ransomwares, il s’agit de reconnaître trois étapes essentielles, dans le cas des voleurs de données ou d’informations, quatre actions. Le laboratoire attribue un demi-point ou un point entier pour chaque étape ou action bloquée. Ainsi, un produit peut obtenir cinq fois 3 points pour chaque ransomware détecté et éliminé, et cinq fois 4 points pour les voleurs d’informations. Le meilleur score de protection est donc de 35 points.

Les 10 scénarios utilisés pour le test

Tous les scénarios d’attaque sont documentés selon la norme de la base de données MITRE ATT&CK. Les différentes sous-rubriques, par ex. « T1566.001 », correspondent dans la base de données Mitre à « Techniques » sous le point « Phishing: Spearphishing Attachment ». Ainsi, chaque étape du test est définie entre les spécialistes et peut être mieux retracée. De plus, toutes les techniques d’attaque sont expliquées, ainsi que la manière dont les logiciels malveillants opèrent.

01
zoom ico
02
zoom ico
03
zoom ico
04
zoom ico
05
zoom ico
06
zoom ico
07
zoom ico
08
zoom ico
09
zoom ico
10
zoom ico

1

01

2

02

3

03

4

04

5

05

6

06

7

07

8

08

9

09

10

10

Le test ATP et ses résultats : produits pour utilisateurs particuliers

Point intéressant dans ce test : tous les produits pour utilisateurs particuliers ont détecté les attaquants sans exception. Cependant, seuls 7 produits sur 11 sont parvenus à stopper le malware entier lors des premières étapes « Initial Access » ou « Exécution », et obtiennent le score de protection maximal de 35 points : Bitdefender, G DATA, McAfee, Microsoft, Microworld, Norton et PC Matic.

Les 4 autres suites ont rencontré quelques problèmes avec les ransomwares et les voleurs d’informations : ainsi, Avast et AVG ont bien détecté les attaquants sans toutefois pouvoir les bloquer totalement dans 4 cas. Seule l’intervention d’autres fonctions internes à des étapes ultérieures de l’attaque a permis de stopper le malware dans tous les cas, de sorte qu’aucun dommage n’a été causé. Toutefois, cela a coûté quelques points aux produits qui n’obtiennent donc que 30 points sur 35.

F-Secure a rencontré des problèmes similaires, mais dans 6 scénarios sur 10. Ici encore, les fonctions de protection internes sont intervenues à des étapes ultérieures de manière suffisamment sûre pour que le danger soit écarté et qu’aucun dommage ne soit causé. Toutefois, après déduction de points dans 6 scénarios, le score ne s’élève plus qu’à 28 points sur 35.

La suite antivirus d’ESET remporte certes 30 points sur 35, mais dans l’un des cas, malgré la détection de l’attaque, le ransomware a triomphé et les données ont été cryptées ! Dans un autre cas, un voleur de données a certes pu se propager, mais il a également été stoppé à des étapes ultérieures par une technique de protection interne.

Toutes les suites de sécurité ont obtenu le certificat « Advanced Protection ». Malgré une performance irréprochable, G DATA ne parvient pas à décrocher un certificat, car seuls les produits qui sont certifiés lors du test mensuel régulier et qui remplissent les critères ici obtiennent ce certificat.

Le test ATP et ses résultats : solutions pour entreprises

Les résultats des solutions pour entreprises au test ATP sont très satisfaisants pour la plupart des produits : 8 suites testées sur 10 ont réalisé des performances parfaites, affichant le score de protection maximal de 35 points : Bitdefender (avec 2 versions), ESET, HP Security, Kaspersky (avec 2 versions), Qualys et Symantec.

Le produit d’Avast a certes détecté les 10 attaques, mais dans deux cas, il n’a pas pu stopper le ransomware ni le voleur de données dès le départ. Les attaques n’ont été stoppées qu’à des étapes ultérieures par des techniques de protection internes, de sorte qu’aucun dommage n’a été causé. Pour avoir laissé franchir le mur de défense, le score de protection ne s’élève qu’à 30 points sur 35.

La solution de Check Point connaît le même sort que celle d’Avast, mais dans 6 cas. Là encore, la solution est parvenue à stopper les attaquants grâce à des techniques de protection avancées et aucun dommage n’est à déplorer. Bien entendu, dans ce cas, le laboratoire retire des points : le score de protection s’élève à 28 points sur 35.

Tous les produits se voient attribuer le certificat « Advanced Approved Endpoint Protection » puisqu’ils ont atteint au minimum 75 pour cent des 35 points (soit 26,5 points) comme score de protection.

Combats numériques acharnés et systèmes de défense victorieux

21 produits ont été testés dans 10 scénarios respectifs. Dans 209 cas sur 210, aucun dommage n’a été causé par un programme malveillant. Alors que la plupart des produits pour les utilisateurs particuliers détectent les attaquants, les bloquent et les éliminent immédiatement, certains produits entretiennent inutilement le suspense. Mais au moins, ces suites et ces solutions sont capables de corriger rapidement leurs erreurs et d’empêcher les attaquants de parvenir à leurs fins grâce à d’autres fonctions de protection internes. Seul ESET a échoué au 210e cas. À la fin, le système Windows était crypté.

Particuliers 04/2024

Free Antivirus
Internet Security
Total Security
Security Ultimate
Total
Internet Security
Total Protection
Defender Antivirus (Consumer)
eScan Internet Security Suite
Norton 360
Application Allowlisting

Solutions pour Entreprises 04/2024

Ultimate Business Security
Endpoint Security
Endpoint Security (Ultra)
Endpoint Security
Endpoint Security
Wolf Pro Security
Endpoint Security
Small Office Security
Endpoint Protection
Endpoint Security Complete

Social Media

Nous voulons rester en contact avec vous !  Recevez simplement et régulièrement les dernières informations et les publications de test.