Test ATP : attaques dissimulées avec ransomwares et voleurs d'informations
Les cybercriminels affinent en permanence leurs techniques d’attaque, les optimisant ou les combinant pour lancer de nouvelles vagues de piratage. Dans le cadre du test actuel Advanced Threat Protection (ATP), les experts d’AV-TEST ont testé la capacité des produits de protection à détecter et à repousser ces nouvelles techniques d’attaque. En laboratoire, 6 produits pour utilisateurs particuliers et 8 solutions pour entreprises ont été mis à l’épreuve pour démontrer leur efficacité à parer les attaquants. Dans le test, les attaquants utilisent les techniques de résolution API dynamique, de DLL-sideloading, de masquage de commandes PowerShell ScriptBlockAst et se dissimulent dans des outils Windows courants. Le test montre que certains produits de protection ont du mal avec ces techniques d’attaque et ne leur résistent pas toujours.
Dans les tests Advanced Threat Protection (ATP), il ne s’agit pas uniquement de détecter un virus. Il s’agit plutôt de voir si un produit de sécurité est capable de combiner ses différents composants de manière à détecter et à repousser également les attaques dissimulées. 6 suites de protection destinées aux particuliers et 8 solutions de sécurité pour entreprises ont été mises sur le banc d’essai pour ce test avancé. Le test a été réalisé de juillet à août 2024 sous Windows 10.
Dans l’actuel test Advanced Threat Protection, les suites de protection pour particuliers testées sont celles d’Avast, AVG, F-Secure, McAfee, Microsoft et NPAV. Du côté des solutions pour entreprises, ce sont les produits d’Avast, Check Point, Kaspersky (avec 2 versions), Microworld, Qualys, Trellix et WithSecure qui sont en lice.
Dans le test ATP, 5 échantillons de ransomwares et 5 échantillons de voleurs de données sont mis en scène dans 10 scénarios d'attaque réalistes. Ces attaquants utilisent des techniques spéciales ou les combinent entre elles. Nous en détaillerons les aspects techniques un peu plus loin.
Le résultat du test montre que face aux attaquants, tous les logiciels de protection ne sont pas à la hauteur. Néanmoins, le test montre aussi qu’il existe des produits capables d’agir de manière structurée et sûre dans les scénarios les plus perfides, et donc de repousser chaque agresseur.
Techniques d’attaque utilisées par les programmes malveillants
Les cybercriminels élaborent en permanence de nouvelles techniques pour introduire leurs programmes destructeurs dans les systèmes des utilisateurs. Le laboratoire connaît ces techniques et utilise les malwares selon les mêmes modèles d’attaque que ceux que l’on observe tous les jours dans le monde de l’informatique. Ces attaques font appel à des techniques soit individuelles, soit combinées. En voici le contexte technique :
Résolution API dynamique : Les attaquants peuvent appeler des fonctions API que Windows met à la disposition de chaque application à partir de leur logiciel malveillant. Cependant, l’utilisation est cachée et utilise une résolution dynamique afin de dissimuler les fonctions malveillantes. Cela complique l’analyse de la défense pour les produits de protection. Pour masquer davantage les appels d’API, le logiciel malveillant utilise souvent des hachages pour la résolution des fonctions API ou applique un cryptage aux chaînes qui doivent être décryptées pendant l’exécution. Lors du récent test, toutes les opérations de manipulation de fichiers passent principalement par l'API interne de Windows (ntdll.dll) et résolvent les fonctions au moment de l'exécution. Ceci permet de dissimuler l’attaque et de rendre sa détection plus difficile.
DLL-sideloading : Ici, les attaquants profitent d’erreurs de programmation courantes dans les logiciels standards. Une DLL (bibliothèque de liens dynamiques) malveillante est copiée dans le répertoire de l’application. L’application ne le remarque pas et télécharge la DLL. Le processus exécute alors les instructions des attaquants, alors qu’il paraît tout à fait normal et inoffensif. Lors du test, un fichier exécutable de GoToMeeting (g2mupload.exe) et l'outil Windows RunOnce (runonce.exe) sont utilisés pour charger la DLL dangereuse par sideloading.
Masquage de commandes PowerShell ScriptBlockAst : Pour les programmeurs, ScriptBlockAst est une sorte de carte d’aperçu pour un script PowerShell. Les attaquants veillent à ce que le code d'attaque généré dynamiquement soit masqué dans l'aperçu. Ainsi, les programmes de défense ne peuvent pas analyser le code et ont donc plus de mal à le détecter. Dans l’étude actuelle, un fichier raccourci exécute un code PowerShell qui utilise ScriptBlockAst pour masquer son intention. Car à l’étape suivante, une action dangereuse sera exécutée.
Renommer des outils : Le programme malveillant renomme des outils système Windows pour éviter d’être détecté par le logiciel de sécurité. En effet, ceux-ci surveillent certains noms de fichiers ou de processus. De cette manière, les programmes malveillants peuvent même utiliser la liste blanche (Whitelisting) des applications et se cacher sous des processus légitimes. Pendant le test, les outils Windows Curl et RunOnce sont copiés, renommés et utilisés pour le téléchargement et le sideloading d’un programme malveillant.
Le laboratoire exécute les 10 attaques réalistes sur des PC Windows sur lesquels est installée une suite de sécurité. Toutes les étapes de détection et de défense de chaque scénario d’attaque sont alors notées puis décrites selon la matrice MITRE ATT&CK. Pour les ransomwares, il s’agit de détecter trois étapes essentielles, alors qu’il faut en détecter quatre pour les voleurs de données. Le laboratoire attribue un demi-point ou un point entier pour chaque action bloquée. Ainsi, un produit peut obtenir cinq fois 3 points pour chaque ransomware détecté et éliminé, et cinq fois 4 points pour les voleurs d’informations. Le meilleur score de protection qu'un produit peut obtenir est donc de 35 points.
Les 10 scénarios utilisés pour le test
Tous les scénarios d’attaque sont documentés selon la norme de la base de données MITRE ATT&CK. Les différentes sous-rubriques, par ex. « T1566.001 », correspondent dans la base de données Mitre à « Techniques » sous le point « Phishing: Spearphishing Attachment ». Ainsi, chaque étape du test est définie entre les spécialistes et peut être mieux retracée. De plus, toutes les techniques d’attaque sont expliquées, ainsi que la manière dont les logiciels malveillants opèrent.
Performance des produits pour utilisateurs particuliers au test ATP
Parmi les 6 suites antivirus pour utilisateurs particuliers, 3 produits ont passé le test sans commettre une seule erreur, et obtiennent donc la totalité des 35 points au score de protection : F-Secure Total, McAfee Total Protection et Microsoft Defender Antivirus (Consumer).
La suite de NPAV a certes détecté les attaquants dans les 10 scénarios, mais n’a pas pu stopper l’attaque dans 4 cas – deux avec ransomware, deux avec voleurs de données. L’agression n’a été bloquée qu’après la mise en place d’autres modules de protection. À noter qu’après l’attaque, les fichiers exécutables de l’attaquant sont restés dans le système. Pour ces erreurs, le laboratoire a retiré au total 8 fois un demi-point. NPAV ne totalise donc que 31 points sur 35 au score de protection.
Lors du test, les produits d’Avast et AVG ont fait face aux mêmes problèmes : ils ont chacun échoué dans la détection d’un ransomware et d’un voleur de données. Les données ont ensuite été cryptées, exfiltrées et donc dérobées. Chaque produit a ainsi perdu 7 points – une fois 3 points et une fois 4 – au score de protection, et affiche donc un score final de 28 points sur 35.
Pour qu’une suite de protection obtienne le certificat « Advanced Certified », décerné par AV-TEST, elle doit atteindre au moins 75 % (26,5 points) des 35 points maximum du score de protection à l’issue du test. Les 6 produits pour utilisateurs finaux testés y sont tous parvenus.
Performances des solutions pour entreprises au test ATP
8 solutions pour entreprises ont également participé au test ATP complet. Pas moins de 5 produits ont atteint la barre de 35 points au score de protection pour leurs performances irréprochables : Kaspersky Endpoint Security et Small Office Security, Microworld eScan Enterprise EDR, Trellix Endpoint Security et WithSecure Elements Endpoint Protection.
Si la solution de protection de Check Point a bien détecté les agresseurs dans les 10 scénarios, elle n’est toutefois pas parvenue à empêcher complètement l’attaque dans 2 cas avec des ransomwares. À des étapes ultérieures de la défense, la solution a certes stoppé le cryptage à grande échelle, mais les fichiers individuels sont restés chiffrés. Au total, cette faille a coûté 2 points au produit qui obtient finalement 33 points sur 35.
La solution de Qualys pour la protection des points de terminaison n’a identifié que 9 attaques sur 10, ce qui a permis à un voleur de données de dérober toutes les données et causé au produit une perte de 4 points. À cela s’ajoute une autre attaque de ransomware qui certes a été détectée, sans être complètement stoppée. Certains fichiers ont donc finalement été cryptés, entraînant une perte de 1,5 point. Le score de protection de Qualys s’élève donc à 29,5 points sur 35.
Lors du test, la solution business d’Avast n’a réagi qu’à 8 attaques sur 10. Un ransomware et un voleur de données ont donc sévi dans le système, volant ou cryptant des données. Ainsi, ce produit perd 7 points au total au score de protection et se retrouve en fin de classement avec 28 points.
Pour qu’un produit obtienne le certificat «Advanced Approved Endpoint Protection » au test ATP, il doit atteindre au moins 75 pour cent (soit 26,5 points) des 35 points maximums du score de protection à l’issue du test. Tous les produits testés ont obtenu des valeurs supérieures.
Scénarios réalistes et défense efficace
Les cyberattaquants essaient par tous les moyens imaginables de pénétrer dans les systèmes des utilisateurs. Pour certains produits, les techniques utilisées ne sont pas faciles à détecter. Certaines attaques n’ont donc pas pu être évitées. Mais le test actuel montre qu’il existe des produits qui peuvent faire face à n’importe quelle attaque et ne laisser aucune chance aux agresseurs. Du côté des suites de sécurité pour utilisateurs particuliers, il s’agit des produits de F-Secure, McAfee et Microsoft. Du côté des solutions pour entreprises, ce sont les produits de Kaspersky (avec 2 versions), Microworld, Trellix et WithSecure qui assurent une résistance parfaite.
Les autres produits en lice ne peuvent pas se satisfaire du résultat et devront continuer à améliorer leur détection et leur défense. Les tests ATP fournissent à ce sujet des informations importantes et servent également aux fabricants pour optimiser leurs produits.