Une meilleure sandbox

L’efficacité de la sandbox dépend principalement de sa capacité à imiter un environnement de travail de façon réaliste.

Le sandboxing est un des outils les plus efficaces pour analyser les objets suspects et détecter les comportements malveillants. Cette technologie est mise de œuvre de diverses façons dans un grand nombre de solutions de sécurité. La précision de la détection des menaces dépend directement de la façon dont la sandbox émule l’environnement au sein duquel les objets suspects s’exécutent.

Définition et fonctionnement de la sandbox

La sandbox est un outil qui crée un environnement isolé au sein duquel le comportement des processus suspects peut être analysé. Cela se passe généralement dans une machine virtuelle, ou dans un conteneur, qui permet à l’analyste d’examiner les objets potentiellement malveillants sans risquer d’infecter un véritable environnement de travail, ou de lui porter préjudice, ou encore de divulguer d’importantes données professionnelles.

Par exemple, la sandbox de la plateforme Kaspersky Anti Targeted Attack (KATA) fonctionne de cette façon : si un composant de la solution de sécurité détecte un objet dangereux ou suspect, comme un fichier ou une URL, il l’envoie à la sandbox pour procéder à une analyse et partage également les renseignements relatifs à l’environnement de travail (version du système d’exploitation, liste des programmes installés, paramètres système, etc.). La sandbox exécute l’objet ou navigue sur l’URL et enregistre tous les objets :

  • Les registres d’exécution, dont les appels d’API du système, les opérations des fichiers, l’activité du réseau, les URLs et les processus auxquels l’objet a eu accès.
  • Les aperçus du système et de la mémoire (copies brutes, dumps).
  • Les objets créés (décompressés ou téléchargés).
  • Le trafic du réseau.

Une fois que le scénario du test est terminé, les objets recueillis sont analysés et scannés pour rechercher d’éventuelles traces d’activité malveillante. Si des traces sont détectées, l’objet est classé comme malveillant et les techniques, les tactiques et les procédures identifiées sont cartographiées dans la matrice du cadre MITRE ATT&CK. Toutes les données obtenues sont conservées pour une analyse plus approfondie.

Les défis de la sandbox

Le principal problème de la sandbox est que les cybercriminels les connaissent et ne cessent d’affiner leurs méthodes d’évasion. Pour contourner la protection de la sandbox, les cybercriminels se concentrent sur le développement de technologies qui détectent les fonctionnalités spécifiques des environnements virtuels. Pour ce faire, ils cherchent des objets ou des états caractéristiques dans la sandbox, ou encore un comportement anormal de l’utilisateur virtuel. Si le programme malveillant détecte, ou suspecte, de tels signes, il change de comportement ou s’autodétruit.

Quant aux programmes malveillants utilisés lors d’attaques ciblées, les cybercriminels analysent méticuleusement la configuration du système d’exploitation et l’ensemble des programmes installés sur la machine prise pour cible. L’activité malveillante ne se déclenche que si le programme et le système répondent parfaitement aux attentes des cybercriminels. Le programme malveillant peut fonctionner à des intervalles de temps strictement définis ou s’activer lorsque l’utilisateur a réalisé certaines actions.

Comment rendre un environnement artificiel plus réel

Pour duper une éventuelle menace afin qu’elle s’exécute dans un environnement sécurisé, plusieurs approches sont combinées et déployées :

  • Des environnements virtuels variables et randomisés : création de plusieurs sandbox avec diverses combinaisons de paramètres et de programmes installés.
  • Une simulation réaliste du comportement de l’utilisateur, dont la vitesse de saisie des mots de passe, la lecture d’un texte, les déplacements du curseur et les clics de souris.
  • L’utilisation d’une machine physique (non virtuelle) séparée et isolée de l’environnement de travail pour analyser les objets suspects associés aux attaques du hardware et aux pilotes du dispositif.
  • Une analyse statique et dynamique avec la surveillance du comportement du système à des intervalles de temps spécifiques et l’utilisation de technologies qui accélèrent le temps sur les machines virtuelles.
  • L’utilisation d’images de postes de travail réels de l’environnement ciblé, dont le système d’exploitation et la configuration des programmes, mais aussi les plug-ins et les paramètres de sécurité.

Notre sandbox met en œuvre toutes ces techniques. Elle peut imiter le comportement d’un utilisateur réel, déployer des environnements randomisés et opérer en mode automatique ou manuel. Nous avons récemment mis à jour notre solution de détection et de réponse étendues, Kaspersky Anti Targeted Attack Platform. Cette sandbox intégrée vous permet désormais de personnaliser les images système en choisissant parmi plusieurs systèmes d’exploitation (qui figurent dans la liste des systèmes compatibles) et d’installer des programmes tiers. Vous trouverez plus d’informations sur cette plateforme sur la page consacrée à KATA.

 

Conseils