Les infections sans fichier sont un type d’attaque difficile à détecter pour les solutions de sécurité reposant sur l’analyse de fichier. En effet, ces programmes malveillants s’exécutent directement en mémoire, la plupart du temps en utilisant des programmes vulnérables pour infecter la machine, et ne laissent que très peu de traces sur le système. D’après le Ponemon Institute, de telles attaques auraient un taux de succès dix fois supérieur aux attaques par fichier classique.
Voyons comment la solution développée par ESET permet de répondre à de telles menaces, et bien plus encore.

L’analyse comportementale

Le fonctionnement d’un anti-malware classique repose sur une base de signatures numériques de programmes malveillants. Cette approche est suffisante pour la plupart des attaques qui utilisent des logiciels malveillants existants et dont la signature est connue. Toutefois, des attaquants plus avancés ont développé de nouvelles techniques pour contourner ces solutions de sécurité. Parmi elles, on peut notamment citer le polymorphisme qui permet au programme de se réécrit régulièrement afin de tromper la détection par empreinte, ou encore l’obfuscation à travers l’utilisation de packers. Face à l’évolution de la menace, ESET a développé un moteur d’analyse comportementale capable de détecter de tels fichiers malveillants.

Pour mener des actions sur la machine infectée, le programme malveillant doit interagir avec le système. Ce sont ces interactions que le moteur surveille afin de détecter les infections. Ainsi, les appels systèmes, le trafic réseau, et les actions sur le disque dur ou les fichiers sont autant de moyens pour qualifier les actions d’un programme. On pourra par exemple vérifier qu’un programme ne communique pas avec des serveurs compromis connus, ou encore que les données échangées sur le réseau ne correspondent pas à un protocole de conversation utilisé par les Command and Control de groupes d’attaquants répertoriés. En effet, s’il est relativement facile de mettre à jour un malware pour contourner les vérifications par empreinte, comme vu précédemment, il est plus difficile de modifier la manière dont celui-ci va communiquer avec le serveur en charge de le commander.

En cas de comportement inhabituel, le processus responsable est automatiquement bloqué.

En plus de ces analyses comportementales, la solution analyse également tous les fichiers téléchargés sur la machine. Si le fichier est inconnu, celui-ci est immédiatement envoyé dans le cloud pour une analyse approfondie en « bac à sable » (ou sandbox). Cette analyse présente de nombreux avantages. Tout d’abord, du fait que le programme n’est pas exécuté sur la machine locale, l’impact sur les performances est fortement réduit. De plus, le risque d’infection pour l’utilisateur ou les services hébergés sur la machine est réduit. Il devient également possible de modifier les paramètres environnementaux plus facilement : accélération du temps, utilisation de configurations matérielles et réseaux spécifiques, analyse approfondie de la mémoire. Enfin, la technologie utilisée réduit le risque que le programme détecte le sandboxing.

Un savoir-faire reconnu par les entreprises

ESET commercialise une gamme de solutions de sécurité pour entreprises compatible avec les systèmes Windows, MacOs et Linux. Il existe également pour les terminaux mobiles iOS et Android. Sa faible consommation en ressource lui permet de s’exécuter dans une large variété d’environnement, même les plus exigeants comme les équipement industriels ou médicaux.

La solution principale repose sur différents modules indépendants communiquant entre eux. Ce fonctionnement offre une réelle défense en profondeur de sorte que si l’attaquent arrive à contourner un module, il a toutes les chances d’être détecté par le module suivant. Par ailleurs, ces modules opèrent à plusieurs niveaux : logiciel, driver, matériel, UEFI, BIOS… pour une protection à 360 degrés. Ces modules, comme tous les développements, sont réalisés en interne avec un haut niveau de contrôle qualité. De cette manière, l’entreprise réduit le risque que ça solution puisse être exploité comme vecteur d’attaque et d’être victime d’une attaque par supply chain.

Bien établi sur le marché Européen, de par son origine Européenne, ESET dispose de nombreux capteurs au sein des entreprises qu’elle protège. Ces données issues de la télémétrie sont un véritable atout lorsqu’elle sont croisées entre elle. Cela permet en effet de rapidement détecter des attaques et de partager les informations sur la menace aux autres instances pour qu’elles puissent s’en protéger efficacement. La remonté d’information est effectuée avec l’accord de l’entreprise uniquement, dans le respect des règlementations les plus strictes et hautement paramétrable.

Avec près de 4 Pétaoctets de données, la base de code malveillant constituée par ESET permet à l’entreprise de mener des recherches approfondies. Les données collectées sont ensuite traitées au sein des 13 centres de recherche et développement répartis à travers le monde. L’objectif des chercheurs est de mieux comprendre la menace, d’établir le profil des victimes et éventuellement de monter un dossier qui sera transmis aux autorités compétentes.
Soucieux des problématiques rencontrés par ses clients, ESET permet une configuration fine des données que la solution peut envoyer et partager dans le cloud. Il est également possible d’appliquer plusieurs politiques selon les types d’équipement et la sensibilité des informations qu’ils contiennent, par exemple les données de santé.

ESET : un anti-malware aux capacités d’EDR

L’anti-malware développé par ESET est donc un outil complet et adapté au besoin de ses clients. Grâce à l’analyse comportementale, il est capable de détecter et de bloquer les infections avec une grande efficacité sur la quasi-totalité des terminaux tout en minimisant l’impact sur les performances. L’analyse cloud, quant à elle, offre des capacités d’analyse avancées pour assurer un haut niveau de sécurité.

La solution dispose enfin de capacités d’EDR qui viennent en extension des fonctionnalités anti-malware. Bloquer les nouvelles attaques requiert d’avoir une meilleure vision de l’infrastructure, et coupler les deux systèmes permet d’obtenir une solution très efficace. Outre les capacités de détection et de réponse, la solution offre des fonctionnalités de scan réseau, d’installation à distance ou encore d’inventaire matériel et logiciel, permettant notamment aux entreprises ne disposant pas d’outils dédiés, une meilleure maitrise de leur système d’information.

Contact Commercial :

Nicolas Chaubard
Directeur du Service clients finaux
Tél. +33(0)1.55.89.09.62
Mob. +33(0)6.72.42.76.86
nicolas.c@eset-nod32.fr