Émuler pour mieux exterminer

Avant toute chose, un petit rappel… :

Une protection garantie à 100% n’existe pas. Vous le savez surement parfaitement  à l’heure actuelle. En effet, même le plus fiable des antivirus se laisse parfois surprendre par des attaques professionnelles. Ce qui est déjà une mauvaise nouvelle. Mais il y a pire :  savoir que des antivirus moins performants sont contournés  de manière beaucoup plus fréquente.

S’ils le veulent, les criminels professionnels de haut niveau peuvent s’introduire dans n’importe quel système, heureusement,  de tels « cyber-Moriarty »  ne courent pas les rues. La plupart des délits sur Internet sont  réalisés par des  programmeurs ordinaires qui semblent perdre totalement la tête -séduits par l’avidité et pensant qu’ils pourront s’en tiré sans représailles (ha !). Ces arnaqueurs n’ont habituellement pas les compétences suffisantes pour s’en sortir  lorsqu’ils piratent les systèmes de défense les plus avancés, mais ils sont plus que capable d’entrer dans un ordinateur qui n’est pas protégé du tout ou alors qui est doté d’une défense défectueuse. Mais, hélas, ce genre de chose est monnaie courante.

La logique de base de tout cela plutôt simple :

Plus la protection est forte- plus les défenses le sont, évidemment.  Et plus les attaques sont professionnelles – plus elles sont à même de briser des  systèmes de défense.

De nos jours, avec 2.5 milliards d’utilisateurs Internet de victimes potentielles, cette logique mène au constat suivant :

Les criminels n’ont pas besoin  de pirater des  super chambres fortes (en particuliers lorsque ce qui y est sauvegardé dans ces coffres super sécurisés se révèle être très bizarre/ suspect/dangereux, il vaut mieux ne rien savoir du tout). C’est plus simple – et moins cher – de s’introduire dans quelque chose  de plus abordable, comme le réseau d’un voisin, sachant que  ses défenses sont certainement moindres et  ses cachettes plus facile à trouver.

Voici donc le tableau : pour le pirate moyen, il n’y a pas d’intérêt à prendre la peine de se préparer et d’exécuter des attaques super professionnelles. Ça n’a pas non plus beaucoup de sens de passer de Windows à Mac.  Il est beaucoup plus efficace de toucher  le plus de victimes possibles avec des attaques non ciblées qui ne sont pas trop compliquées à exécuter.

Meilleure est la protection, moins ces malotrus seront intéressés.  Ils ne s’aventureront pas à essayer de la briser, ils trouveront tout simplement  des victimes plus vulnérables quelque part d’autre.

Maintenant, laissez-moi vous en dire plus à propos d’une fonctionnalité qui dissuade les cybercriminels d’attaquer votre ordinateur, et donne aux pirates l’envie d’aller voir ailleurs, là où la fonctionnalité n’existe pas. Oui, il est grand temps de vous ouvrir à nouveau les yeux et de vous en dire plus à propos de la lettre K de votre barre des tâches et comment elle vous offre une protection de haut niveau grâce à l’émulation.

J’ai écrit  » en savoir plus « , ci-dessus, car je vous ai déjà parlé de l’émulation dans ce blog. Pour ceux qui n’ont pas lu ces articles – je vous suggère d’y jeter un rapide coup d’œil. Quant à ceux qui n’ont pas une minute à eux, je vous en fais un bref résumé ci-dessous…

En bref, l’émulation est une méthode permettant de détecter automatiquement  les nouveaux malwares, et ce, en analysant le comportement de programmes suspects, sans pour autant les activer ou risquer d’endommager le système. Mais comment analyser un programme sans le lancer ? Et bien, voici en quoi consiste l’émulation. Elle émule le fonctionnement d’un programme sans pourtant autant le faire fonctionner.  L’émulateur crée un environnement virtuel spécial dans lequel  le programme est ouvert. C’est un peu comme tester un virus (chez l’humain) dans un tube à essai, en opposition au fait de l’analyser alors qu’il est encore dans les veines de la personne. C’est une méthode moins douloureuse, que ce soit pour le malade ou l’ordinateur.

Grâce à l’émulation je suis heureux de vous apprendre que les malwares n’ont nulle part où aller ! Enfin presque… il y a un grand  »  Mais  » :

Les programmes les plus malveillants ont appris comment reconnaitre les environnements artificiels  » tube à essai « , s’adaptent donc et changent leur angle d’attaque jusqu’à ce qu’ils trouvent une faille dans les défenses du système.

Nous parlons ici d’astuces contre les émulateurs.

Voici  quelques exemples : lancer des fonctions non-documentées, vérifier l’authenticité de l’environnement en pistant les changements dans le registre du processeur, analyser les codes d’erreur, chercher un code spécial dans la mémoire, introduire une « bombe logique » afin que l’émulateur rentre des cycles infinis, etc.

Dès qu’une astuce fonctionne, le malware comprend qu’il est dans un  »  tube à essai  » et se transforme rapidement en un programme similaire bénin cette fois-ci. Il essaie ensuite, en arrière-plan, de lancer des attaques furtives que l’émulateur de détectera pas.

Plusieurs années de combat  plus tard, nous continuons  notre lutte acharnée pour surpasser l’ennemi et servir au mieux nos utilisateurs. Parce que cette bataille fût longue et épuisante, les experts ont décidé que les jours de l’émulateur en tant que technologie antimalware efficace touchaient à leur fin. Nous n’arrêtons cependant  pas de chercher un moyen d’avoir le dernier mot.

Il est clair que ce qu’il nous fallait pour remporter cette bataille c’était d’être capable de créer un tube à essai (un environnement testeur ) identique au corps humain (l’environnement réel de l’ordinateur).

Cependant, je ne pense pas m’y connaitre en clonage de virus biologique, mais dans le domaine informatique ça aurait tout à fait été possible; néanmoins, c’est une solution très coûteuse et très difficile. Pourquoi ? Parce qu’il faudrait développer un système entier d’exploitation imitant l’original. Et répéter cette opération pour chaque fichier suspect. Imaginez le nombre de ressources système nécessaires pour cette opération !

Nous avons donc emprunté une autre voie, jamais utilisée, celle du by-pass…

A l’heure actuelle, la grande majorité des programmes  malveillants opère au niveau de l’utilisateur dans le système d’exploitation. Cependant, quand on fait appel au système (par exemple, pour lire ou écrire un fichier), ils interagissent avec le noyau du système au niveau du système. Il y a une grande différence entre ces deux niveaux : au niveau de l’utilisateur, les programmes peuvent voir leur environnement modifié (et donc utiliser des astuces pour contrer l’émulateur) alors qu’au niveau du système, ils ne peuvent pas.

C’est pourquoi nous avons concentré toutes nos astuces émulatrices et antimalwares les plus sophistiquées au niveau du système, alors qu’au niveau de l’utilisateur, nous essayons d’obtenir un environnement le plus semblable à l’original possible. Résultat : une solution presque parfaite pour rendre le  »  tube à essai  » invisible !

Plus précisément,  nous simulons correctement l’exécution  de toutes les fonctions API et passons ensuite au niveau système pour une analyse antimalware en profondeur. Par conséquent, le malware ressent un sentiment d’impunité dans un environnement vierge – une fausse impunité – et révèle enfin son essence malveillante. Bingo !

Hélas, comme pour n’importe quelle technologie, notre super émulateur (qui s’avère également super stable) ralentit les performances de l’ordinateur, nous y avons donc ajouté un accélérateur  intelligent qui contourne de manière sélective l’émulation logicielle et exécute certaines parties d’un programme sur un vrai processeur. Je ne rentrerai pas plus dans les détails (le brevet de ce programme est toujours en attente !), mais je conclurai juste en vous annonçant que nous avons trouvé un duo de technologies  qui fonctionne plus rapidement qu’un émulateur traditionnel. Bingo à nouveau !

LIRE LES COMMENTAIRES 0
Laisser un commentaire