{"id":12181,"date":"2019-09-05T08:55:20","date_gmt":"2019-09-05T08:55:20","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=12181"},"modified":"2019-09-05T08:55:20","modified_gmt":"2019-09-05T08:55:20","slug":"kaspersky-sandbox-patent","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/kaspersky-sandbox-patent\/12181\/","title":{"rendered":"Un guet-apens pour les logiciels malveillants"},"content":{"rendered":"

Je n\u2019ai pas vu le sixi\u00e8me Mission Impossible<\/em><\/a> et je ne pense pas le voir un jour. J\u2019ai endur\u00e9 le cinqui\u00e8me jusqu\u2019au bout, dans un \u00e9tat absolument zombifi\u00e9, de retour chez moi apr\u00e8s un vol long-courrier et une semaine d\u2019affaires difficile, uniquement parce qu\u2019une sc\u00e8ne a \u00e9t\u00e9 tourn\u00e9e dans notre tout nouveau bureau moderne \u00e0 Londres<\/a>. Et c\u2019\u00e9tait un Mission Impossible<\/em> de trop, vraiment. Non, ce n\u2019est pas pour moi. Slap, bang, smash, crash, pow, wow. Non, je pr\u00e9f\u00e8re quelque chose<\/a> d\u2019un peu plus stimulant, qui fasse r\u00e9fl\u00e9chir et qui soit tout simplement int\u00e9ressant. Apr\u00e8s tout, j\u2019ai d\u00e9j\u00e0 tr\u00e8s peu de temps \u00e0 perdre !<\/p>\n

Je suis vraiment en train de manquer de respect \u00e0 Tom Cruise et compagnie, n\u2019est-ce pas ? Mais attendez un peu. Je dois leur donner ce qu\u2019ils m\u00e9ritent pour au moins une sc\u00e8ne assez bien faite (c\u2019est-\u00e0-dire, qui fasse r\u00e9fl\u00e9chir et qui soit tout simplement int\u00e9ressante !). Celle o\u00f9 les gentils ont besoin d\u2019un m\u00e9chant pour d\u00e9noncer ses coll\u00e8gues m\u00e9chants, ou quelque chose comme \u00e7a. Ils ont donc mis en place un faux environnement dans un \u00ab\u00a0h\u00f4pital\u00a0\u00bb avec \u00ab\u00a0CNN\u00a0\u00bb sur la \u00ab\u00a0t\u00e9l\u00e9vision\u00a0\u00bb diffusant un reportage sur l\u2019Armageddon atomique. Tout \u00e0 fait satisfait que son manifeste apocalyptique ait \u00e9t\u00e9 diffus\u00e9 dans le monde entier, le m\u00e9chant abandonne ses copains (ou \u00e9tait-ce un code d\u2019acc\u00e8s ?) apr\u00e8s avoir pass\u00e9 un accord avec ses interrogateurs. Oups. Voil\u00e0 la vid\u00e9o<\/a>.<\/p>\n

Pourquoi est-ce que j\u2019aime tant cette sc\u00e8ne ? Parce qu\u2019en fait, elle explique tr\u00e8s bien l\u2019une des m\u00e9thodes de d\u00e9tection\u2026 de cybermenaces jamais vues auparavant ! Il existe en fait de nombreuses m\u00e9thodes de ce type, elles varient selon le domaine d\u2019application, l\u2019efficacit\u00e9, l\u2019utilisation des ressources et d\u2019autres param\u00e8tres (j\u2019en parle r\u00e9guli\u00e8rement ici). Mais il y en a toujours une qui semble se d\u00e9marquer : l\u2019\u00e9mulation<\/a> (sur laquelle j\u2019ai \u00e9galement beaucoup<\/a> \u00e9crit ici avant).<\/p>\n

Comme dans le film Mission Impossible<\/em>, un \u00e9mulateur lance l\u2019objet \u00e9tudi\u00e9 dans un environnement artificiel isol\u00e9, ce qui le pousse \u00e0 r\u00e9v\u00e9ler sa malveillance.<\/p>\n

\"\"<\/p>\n

Mais cette approche pr\u00e9sente un inconv\u00e9nient s\u00e9rieux\u00a0: l\u2019environnement est artificiel. L\u2019\u00e9mulateur fait de son mieux pour que cet environnement artificiel ressemble autant que faire se peut \u00e0 un environnement de syst\u00e8me d\u2019exploitation r\u00e9el, mais de plus en plus de logiciels malveillants intelligents parviennent toujours \u00e0 le distinguer de la r\u00e9alit\u00e9. L\u2019\u00e9mulateur voit alors comment le logiciel malveillant l\u2019a reconnu, le regroupe et am\u00e9liore son \u00e9mulation, et ainsi de suite dans un cycle sans fin qui ouvre r\u00e9guli\u00e8rement une fen\u00eatre de vuln\u00e9rabilit\u00e9 sur un ordinateur prot\u00e9g\u00e9. Le probl\u00e8me fondamental est qu\u2019aucun \u00e9mulateur n\u2019a encore \u00e9t\u00e9 le portrait crach\u00e9 d\u2019un vrai syst\u00e8me d\u2019exploitation.<\/p>\n

D\u2019autre part, il existe une autre technique d\u2019approche de l\u2019analyse comportementale des objets suspects : l\u2019analyse sur une machine virtuelle sur un syst\u00e8me d\u2019exploitation r\u00e9el<\/em>. Et pourquoi pas ? Si l\u2019\u00e9mulateur ne la coupe jamais tout \u00e0 fait compl\u00e8tement, laissez une machine r\u00e9elle, quoique virtuelle, essayer ! Il serait un \u00ab\u00a0interrogatoire\u00a0\u00bb id\u00e9al, men\u00e9 dans un environnement r\u00e9el et non pas artificiel, mais sans cons\u00e9quences n\u00e9gatives r\u00e9elles.<\/p>\n

En entendant parler de ce concept, certains pourraient se pr\u00e9cipiter de demander pourquoi personne n\u2019y avait pens\u00e9 avant. Apr\u00e8s tout, la virtualisation fait partie du courant technique dominant depuis 1992. Eh bien, il s\u2019av\u00e8re que ce n\u2019est pas si simple.<\/p>\n

Tout d\u2019abord, l\u2019analyse d\u2019objets suspects dans une machine virtuelle est un processus qui exige des ressources, adapt\u00e9es uniquement aux solutions de s\u00e9curit\u00e9 d\u2019entreprises lourdes, o\u00f9 l\u2019analyse doit \u00eatre faite de fa\u00e7on intensive afin qu\u2019absolument aucune malveillance ne passe \u00e0 travers les d\u00e9fenses. H\u00e9las, pour les ordinateurs personnels, sans parler des smartphones, cette technologie n\u2019est pas encore adapt\u00e9e.<\/p>\n

Deuxi\u00e8mement, de telles choses existent en r\u00e9alit\u00e9. En fait, nous utilisons d\u00e9j\u00e0 cette technologie, en interne, ici \u00e0 la K<\/em>ompany, pour des enqu\u00eates internes. Mais en mati\u00e8re de produits pr\u00eats \u00e0 \u00eatre commercialis\u00e9s, il n\u2019y en a encore que tr\u00e8s peu qui soit disponible. Les concurrents ont lanc\u00e9 des produits similaires, mais leur efficacit\u00e9 laisse \u00e0 d\u00e9sirer. En r\u00e8gle g\u00e9n\u00e9rale, ces produits sont limit\u00e9s \u00e0 la collecte de registres et aux analyses de base.<\/p>\n

Troisi\u00e8mement, le lancement d\u2019un fichier sur une machine virtuelle n\u2019est que le d\u00e9but d\u2019un processus tr\u00e8s long et d\u00e9licat. Apr\u00e8s tout, le but de l\u2019exercice est de faire appara\u00eetre la malice d\u2019un objet, et pour cela vous avez besoin d\u2019un hyperviseur intelligent, d\u2019une journalisation et d\u2019une analyse du comportement, d\u2019un ajustement constant des mod\u00e8les d\u2019actions dangereuses, d\u2019une protection contre les astuces anti-\u00e9mulation, d\u2019une optimisation d\u2019ex\u00e9cution et bien plus.<\/p>\n

Je peux dire sans fausse modestie que nous sommes vraiment en avance sur la plan\u00e8te enti\u00e8re !<\/p>\n

R\u00e9cemment, nous avons obtenu un brevet am\u00e9ricain (US1033339301<\/a>) pour la cr\u00e9ation d\u2019un environnement appropri\u00e9 pour une machine virtuelle permettant une analyse rapide et approfondie des objets suspects. Voici comment cela fonctionne :<\/p>\n