Protection contre les programmes malveillants : défendre les données grâce à l’analyse de la sécurité de Varonis

programmes malveillants

Le terme de « programme malveillant » ou « malware » est devenu une appellation fourre-tout utilisée pour désigner tout morceau de code tentant de passer inaperçu puis de subvertir les intentions du propriétaire de l’ordinateur. Virus, rootkits, écrans de verrouillage et chevaux de Troie sont aujourd’hui aussi courants que les navigateurs Web et sont utilisés par tous, qu’il s’agisse de criminels, de gouvernements ou de chercheurs en sécurité.

Il est courant de détecter des programmes malveillants sur les terminaux, mais comme WannaCry et NotPetya nous l’ont enseigné, un programme malveillant peut aussi s’infiltrer sur vos serveurs et créer des vulnérabilités et backdoors qui lui permettront d’exfiltrer la plus grande partie de vos informations sensibles. C’est là que Varonis entre en scène.

Nous avons développé plus de 100 modèles de menaces pour détecter et bloquer les programmes malveillants, fuites de données et risques potentiels pour la sécurité de vos données. Identifions ensemble quelques-uns des types de programmes malveillants les plus courants et découvrons comment Varonis peut vous aider à détecter ces attaques et à vous en prémunir.

Virus

Les virus constituent l’un des types de programme malveillant les plus anciens connus. Ils ont pour vocation de provoquer le chaos et de faire de votre vie un enfer.

Certains virus visent par exemple les appareils de stockage NAS. Ils sont particulièrement dangereux compte tenu de l’immense volume de données auquel ils s’attaquent. Le plus tristement célèbre ces derniers temps est la vulnérabilité SambaCry utilisée par les hackers pour lancer des attaques de ransomware, DDoS ou de backdoor.

Ce type d’attaque ne se contente pas de se propager aux autres ordinateurs. Elle commence à attaquer tout système de stockage de données, notamment le NAS, et toutes les données clés qui y figurent (états financiers de l’entreprise, dossiers de ressources humaines) ou le serveur de messagerie. C’est tout votre stockage de données qui pourrait être chiffré ou supprimé en un claquement de doigts.

Comment stopper un virus avec Varonis

Varonis ne surveille pas seulement les événements au niveau des fichiers, il détermine le comportement de référence de chaque utilisateur lorsque l’activité est normale. Cette analyse nous permet de faire la différence entre l’activité conforme au schéma d’accès (activité humaine) historique d’un utilisateur particulier et celle d’un virus (activité d’une machine) et de couper très rapidement l’accès de cet utilisateur pour empêcher le virus de provoquer d’autres dommages.

Les quelques modèles de menace présentés ci-dessous devraient aider à détecter ce type d’attaque de programmes malveillants :

Modèle de menace : chiffrement de plusieurs fichiers

Comment ça marche : DatAlert déclenche ce modèle lorsque plusieurs modifications de fichier sont effectuées par le même utilisateur au cours d’un bref laps de temps ET que ces modifications sont suspectées d’être associées à des extensions de chiffrement de fichier liées à un programme malveillant. Les extensions connues sont configurables via un dictionnaire.

Signification : cela indique habituellement une attaque de programme malveillant ayant pour objectif de refuser l’accès aux données.

Systèmes visés : Windows, Unix, Unix SMB, SharePoint, NetApp, EMC, Hitachi NAS, HP NAS, SharePoint Online, OneDrive, Dell FluidFS, Nasuni

Modèle de menace : comportement anormal : nombre inhabituel de fichiers supprimés

Comment ça marche : DatAlert déclenche ce modèle lorsque plusieurs suppressions de fichier sont effectuées par le même utilisateur au cours d’un bref laps de temps.

Signification : cela signifie qu’un seul et même utilisateur a supprimé de nombreux fichiers figurant sur un appareil de stockage surveillé sur une courte période. Il est possible que l’utilisateur fasse du ménage dans les fichiers, mais cela peut aussi être un programme malveillant.

Systèmes visés : Windows, Unix, Unix SMB, SharePoint, NetApp, EMC, Hitachi NAS, HP NAS, SharePoint Online, OneDrive, Dell FluidFS, Nasuni

Modèle de menace : comportement anormal : nombre inhabituel de fichiers sensibles supprimés

Comment ça marche : DatAlert déclenche ce modèle lorsque plusieurs suppressions de fichier sont effectuées par le même utilisateur au cours d’un bref laps de temps et que ces fichiers ont été marqués comme sensibles par Data Classification Engine, le Moteur de classification des données de Varonis.

Signification : comme pour les modèles précédents, cela signifie qu’un seul et même utilisateur a supprimé de nombreux fichiers figurant sur un appareil de stockage surveillé sur une courte période. Il est possible que l’utilisateur fasse du ménage dans les fichiers, mais cela peut aussi être un programme malveillant.

Systèmes visés : Windows, Unix, Unix SMB, SharePoint, NetApp, EMC, Hitachi NAS, HP NAS, SharePoint Online, OneDrive, Dell FluidFS, Nasuni

Varonis détecte le virus, verrouille l’utilisateur, puis le centre d’opérations de sécurité (SOC) peut intervenir pour limiter ou réparer les dégâts et maîtriser le virus.

Le temps est le meilleur allié d’un virus. Plus il dispose de temps pour baguenauder sans contrainte, plus il a la possibilité de s’autocopier et de détruire des données. Varonis déclenche une réponse automatisée immédiate et stoppe le virus avant qu’il n’ait le temps de provoquer des dommages importants.

Cheval de Troie

Les attaques par Cheval de Troie doivent leur nom à la fameuse histoire datant de l’Antiquité. Ces attaques ont en commun avec les virus le fait qu’elles se dissimulent avec d’autres téléchargements, mais leur charge a tendance à être différente.

Les chevaux de Troie tentent d’installer des backdoors ou des rootkits sur votre ordinateur, fournissant ainsi aux hackers un accès à ce poste et à tout ce à quoi cet ordinateur a aussi accès.

Comment stopper un cheval de Troie avec Varonis

Varonis bloque certains chevaux de Troie en surveillant les dossiers de démarrage dans lesquels ces bugs veulent installer leur charge.

Modèle de menace : activité d’accès suspecte : accès non administrateur à des fichiers et scripts de démarrage

Comment ça marche : DatAlert identifie comme suspect toute activité effectuée sur un fichier par un utilisateur non administrateur dans les dossiers de démarrage.

Signification : une activité effectuée par un utilisateur non administrateur dans les dossiers de démarrage est suspecte : les utilisateurs ne sont pas censés accéder à ces dossiers. L’attaque peut être un cheval de Troie mais il peut aussi s’agir d’une tentative d’installation manuelle dans ce dossier depuis un ordinateur déjà détourné.

Systèmes visés : Windows, Unix, Unix SMB, HP NAS

Un des objectifs des chevaux de Troie est de continuer d’exister une fois la machine arrêtée. Ils tentent donc de s’intégrer à ces dossiers et de se cacher parmi les autres processus en cours d’exécution pour éviter d’être détectés.

Au cas où le cheval de Troie essaierait de faire le malin et ne tenterait pas d’accéder au dossier de démarrage, mais plutôt de déposer sa charge à un autre endroit, un autre modèle de menace détecterait alors son activité.

Modèle de menace : accès à un logiciel d’exploitation

Comment ça marche : DatAlert détecte les événements au niveau des fichiers contenant des noms de fichier connus pour figurer dans la liste des outils de piratage, une liste qui ne cesse d’évoluer.

Signification : cela pourrait signifier que l’utilisateur a téléchargé un outil de piratage pour une raison légitime, mais il s’agit plus probablement d’une tentative d’infiltration sur le réseau, qui doit être stoppée.

Systèmes visés : Windows, Unix, Unix SMB, SharePoint, NetApp, EMC, Hitachi NAS, HP NAS, SharePoint Online, OneDrive, Dell FluidFS

Rootkits et backdoors

Les rootkits et backdoors sont des charges qui permettent aux hackers d’accéder à un ordinateur, d’exécuter des commandes pour se déplacer latéralement et de voler des données. Généralement, les rootkits sont des exécutables prépackagés, tandis que les backdoors sont des itinéraires qu’ils peuvent emprunter pour contourner les mesures d’authentification standard du réseau.

Une fois que le hacker a installé un rootkit ou un backdoor et accède au réseau, il commence à fouiner et rechercher des données intéressantes à voler – il peut s’agir de tout et n’importe quoi, du numéro de sécurité sociale au numéro de carte de crédit, en passant par les e-mails.

Comment stopper rootkits et backdoors avec Varonis

Les hackers utilisent couramment les comptes de service pour se déplacer sur le réseau : un compte de service dispose souvent de droits d’accès plus élevés et accède donc à des données plus précieuses.

Modèle de menace : comportement anormal d’un service : accès aux fichiers courants

Comment ça marche : les comptes de service se comportent généralement de manière cohérente, répétant inlassablement les mêmes opérations. Lorsqu’un compte de service commence à effectuer des actions sur des types de fichiers sans rapport avec son comportement habituel, c’est probablement qu’il y a anguille sous roche. Étant donné que Varonis classe tous les comptes AD en tant qu’Admin, Exécutif, Service ou Utilisateur – nous pouvons reconnaître quand un compte classé parmi les services commence à accéder à des fichiers en s’écartant de son comportement habituel.

Signification : quelqu’un utilise ce compte de service pour consulter d’autres fichiers, très probablement en tentant d’exploiter les droits d’accès du compte de service pour se déplacer dans la structure de fichiers. Rien ne justifie jamais qu’un compte de service accède à des fichiers en dehors du fonctionnement normal. Le compte doit être verrouillé et les données d’identification modifiées.

Systèmes visés : Windows, Unix, Unix SMB, SharePoint, NetApp, EMC, Hitachi NAS, HP NAS, SharePoint Online, OneDrive, Dell FluidFS

Une autre tactique liée à ces types d’attaques est la force brute – que Varonis peut aider à contrer grâce à des modèles de menace axés sur les événements de verrouillage.

Modèle de menace : comportement administrateur anormal : augmentation cumulative du nombre de verrouillages de comptes admin individuels

Comment ça marche : DatAlert détecte dans les statistiques des augmentations importantes des événements de verrouillage dans le temps – et peut identifier une quantité inhabituelle d’événements de verrouillage par rapport au comportement habituel.

Signification : cela signifie que le compte multiplie les tentatives de connexion sans y parvenir. Il peut s’agir d’une erreur de configuration du mot de passe d’un utilisateur autorisé ou d’une attaque par force brute ou d’un utilisateur externe tentant de deviner le mot de passe. Ce compte est probablement la cible d’une attaque progressive par force brute visant à voler les données d’identification de l’administrateur ou d’interdire l’accès.

Systèmes visés : services d’annuaire

Une troisième tactique associée à ces types d’attaque est l’augmentation de privilèges : les hackers tentent d’augmenter les droits d’un utilisateur auquel ils ont déjà accès afin de l’autoriser à accéder à des données plus sensibles.

Modèle de menace : modification des adhésions : groupe admin

Comment ça marche : Varonis surveille les modifications au niveau des adhésions et peut signaler lorsque des membres sont ajoutés ou supprimés d’un groupe admin.

Signification : si une modification a été apportée en dehors du contrôle des changements, il est probable qu’il s’agit d’une tentative de vol de données à l’aide d’un compte habilité.

Systèmes visés : services d’annuaire

Chevaux de Troie d’accès distant (RAT)

Les chevaux de Troie d’accès distant (RAT) sont un autre type de programme malveillant qui ouvre une porte arrière offrant un accès aux hackers. Même s’ils sont des vestiges des années 90, ils restent encore utilisés.

Comment stopper un cheval de Troie d’accès distant avec Varonis

Varonis Edge analyse les appareils du périmètre tels que VPN, proxies Web et DNS (ce qui a été utilisé dans DNSMessenger), et vous bénéficiez de modèles de menace spécialement conçus pour les activités DNS ou comportements d’accès distant suspects.

Modèle de menace : comportement anormal : activité en dehors des lieux géolocalisés connus de l’organisation

Comment ça marche : toute activité n’émanant pas des lieux géolocalisés connus déclenchera ce modèle de menace.

Signification : quelqu’un tente de se connecter au réseau via le VPN depuis un nouvel emplacement.

Systèmes visés : VPN

Une autre tactique associée à ce type de programmes malveillants est le DNS Tunneling, qui code les données ou protocoles dans les requêtes et réponses DNS.

Modèle de menace : exfiltration de données par DNS Tunneling

Comment ça marche : Varonis surveille le DNS et détecte les commandes envoyées via le canal DNS mais qui ne sont pas des requêtes DNS. Les tunnels DNS exigent d’utiliser le protocole DNS pour transmettre et exécuter des commandes sur la cible. Dès que Varonis détecte une requête DNS non standard, il déclenche ce modèle de menace.

Signification : quelqu’un tente d’utiliser le DNS pour exécuter des commandes qui ne sont pas des requêtes DNS. Il s’agit très probablement d’une tentative de piratage.

Systèmes visés : DNS

Informations complémentaires

Ce ne sont que quelques exemples de la façon dont nos modèles de menace détectent les activités suspectes et aident à bloquer trois types de programmes malveillants courants. Avez-vous eu à enquêter sur une attaque de programme malveillant ? Si vous voulez nous faire part de votre expérience, déposez un commentaire ci-dessous, nous sommes très intéressés par vos informations.

Vous pouvez également voir DatAlert en action et apprendre comment fonctionnent ces modèles de menace, ou obtenir une évaluation gratuite de 30 jours des risques auxquels vos données sont exposées.