Connaître les différentes menaces et leur protection
SES Evolution fournit des règles pour détecter les principales menaces et s'en protéger. Cette section décrit rapidement les particularités de chaque type de menace. Pour mettre en œuvre les protections, reportez-vous à la section Configurer la protection contre les menaces.
Dissimulation de processus (Process hollowing)
La protection contre la dissimulation de processus, ou Process Hollowing, détecte et bloque les exécutables malveillants qui tentent de se dissimuler sous l'identité d'un processus légitime du système (e.g., explorer.exe), leur permettant d'agir sans être détectés par Windows. Elle agit contre les attaques de type RunPE ou Döppelganging.
| Type de jeu de règles | Protection |
| Niveau de log | Par défaut, Alerte |
| Génération d'un contexte | Systématique |
| Recommandations | Activer cette protection par défaut en mode Détecter seulement et ne la désactiver que pour des applications internes bien identifiées qui utilisent légitimement la technique de dissimulation de processus. |
Stack Pivot
Une attaque Stack Pivot exploite un débordement de mémoire afin de détourner le flux d'exécution d'une application pour faire exécuter du code malveillant à une application légitime.
La protection contre le Stack Pivot surveille régulièrement la mémoire. Si SES Evolution détecte un comportement anormal sur un agent, notamment un changement d’adresse de pile, il arrête le processus pour empêcher l'exécution du code.
| Type de jeu de règles | Protection |
| Niveau de log | Alerte |
| Génération d'un contexte | Systématique |
| Recommandations | Activer cette protection par défaut en mode Détecter seulement pour toutes les applications. |
Détournement de flux d'exécution (Execution flow hijacking)
La protection contre le détournement de flux d'exécution détecte et neutralise les shellcodes malveillants qui exploitent les débordements de mémoire pour utiliser les adresses des fonctions systèmes dans la librairie dynamique kernel32.dll.
| Type de jeu de règles | Protection |
| Niveau de log | Erreur |
| Génération d'un contexte | Systématique |
| Recommandations | Activer cette protection par défaut en mode Bloquer et interrompre pour toutes les applications. |
Heap Spray
Le Heap Spray est une technique consistant à allouer de grandes quantités de mémoire afin de permettre l'exécution de code malveillant suite à l'exploitation d'une vulnérabilité. La technique Heap Spray n'étant utilisable que sur les applications 32 bits, la protection de SES Evolution n'est pas activée pour les applications 64 bits.
| Type de jeu de règles | Protection |
| Niveau de log | Alerte |
| Génération d'un contexte | Systématique |
| Recommandations | Activer cette protection par défaut en mode Bloquer et interrompre pour toutes les applications. |
Manipulation des jetons d'accès
Le système d'exploitation attribue à chaque processus un jeton de sécurité, qui contient entre autres le compte avec lequel le processus est exécuté et les privilèges associés à ce processus.
Certaines techniques d'attaque parviennent à dérober ou dupliquer le jeton de sécurité d'un processus plus privilégié, et ainsi à accéder à des ressources ou à des privilèges qui leur sont normalement interdits.
La protection contre la manipulation des jetons fournie par SES Evolution permet de bloquer ce type d'attaque en arrêtant le processus ayant dérobé le jeton.
| Type de jeu de règles | Protection |
| Niveau de log | Alerte |
| Génération d'un contexte | Systématique |
| Recommandations | Activer cette protection par défaut en mode Bloquer et interrompre pour tous les processus. |
Pose de hooks par des applications
L'API SetWindowsHookEx fournie par Windows permet à un programme d'être notifié lorsque certains événements se produisent sur le système ou des applications, par exemple des mouvements de souris, frappes de clavier etc. Pour cela, une DLL est injectée dans les processus cibles.
Ce mécanisme est légitime, mais un attaquant peut l'utiliser pour injecter du code malveillant afin d'observer les opérations de l'utilisateur. Par exemple il peut récupérer des mots de passe via les frappes clavier.
| Type de jeu de règles | Protection et Audit |
| Niveau de log |
Protection : Erreur Audit : Information |
| Génération d'un contexte | Au choix (Oui par défaut) |
| Recommandations |
Désactiver la protection par défaut. |
Lorsqu'elle est activée, cette règle contrôle toutes les applications utilisant SetWindowsHookEx. Si vous ne souhaitez pas bloquer toute utilisation de cette API, n'activez pas cette règle mais faites les ajustements au moyen de la règle applicative Enregistreur de frappes.
Élévation de privilèges
Cette protection permet de contrôler les tentatives d'élévation de privilèges effectuées par des applications via l'utilisation du privilège de Debug. Si la protection est activée, SES Evolution compare les droits accordés habituellement à l'application à ceux qu'elle demande. Si elle en demande davantage, SES Evolution va considérer que c'est une élévation de privilèges et peut bloquer l'action.
| Type de jeu de règles | Protection et Audit |
| Niveau de log |
Protection : Erreur Audit : Information |
| Génération d'un contexte | Au choix (Oui par défaut) |
| Recommandations | Au choix |
Contournement des détections EDR
Cette protection protège contre les attaques de logiciels malveillants qui cherchent à désactiver les modules de détection des EDR (Endpoint Detection and Response), basés sur les technologies AMSI et ETW.
| Type de jeu de règles | Protection |
| Niveau de log |
Alerte |
| Génération d'un contexte | Systématique |
| Recommandations | Activer cette protection par défaut en mode Détecter seulement pour tous les processus. |
Fileless attack
Les Fileless attacks ("attaques sans fichier") agissent sans écriture de fichiers malveillants sur les disques des postes de travail. L'attaque a lieu en mémoire.
Cette protection protège contre les processus qui tentent ce type d'attaque.
| Type de jeu de règles | Protection |
| Niveau de log |
Alerte |
| Génération d'un contexte | Systématique |
| Recommandations | Activer cette protection par défaut en mode Détecter seulement pour tous les processus. |
Détection de rootkit
Un rootkit est un logiciel qui modifie le comportement du système d'exploitation afin de dissimuler sa propre exécution. Son objectif est d'obtenir et de conserver un accès à un ordinateur, souvent dans un but malveillant.
La détection de rootkit de SES Evolution permet de surveiller le chargement des pilotes et de vérifier leur intégrité.
| Type de jeu de règles | Audit |
| Niveau de log | Urgence |
| Génération d'un contexte | Au choix (Oui par défaut) |
| Recommandations | Activer ces règles par défaut et les désactiver uniquement pour les pilotes qui s'avèrent légitimes. |
Chargement des pilotes
La protection Chargement des pilotes détecte les pilotes chargés par le système d'exploitation et génère un log pour chacun.
Intégrité des pilotes
La protection Intégrité des pilotes vérifie régulièrement pour chaque pilote si son intégrité n'a pas été potentiellement compromise, i.e., si sa table de fonctions majeures n'a pas été modifiée. Si une modification est détectée, SES Evolution identifie quel pilote est l'auteur de l'attaque et génère un log. Par exemple, un pilote malveillant pourrait modifier un pilote d'antivirus afin de l'empêcher d'analyser les fichiers.
En revanche, certains pilotes effectuent des modifications légitimes, comme certains outils de virtualisation par exemple. Ceux-ci doivent être exclus de la règle d'audit.
Protections avancées
Stormshield fournit également un ensemble de protections avancées contre certains types de menaces, nativement intégrées à la console d'administration.
Les protections avancées permettent de détecter et bloquer des comportements malveillants sur les agents SES Evolution. Elles sont basées sur une analyse heuristique qui peut être mise à jour sans nécessiter la mise à jour logicielle de SES Evolution.
Pour voir les protections avancées dans la console :
- Choisissez le menu Sécurité > Politiques.
- Cliquez sur Voir les protections avancées en haut à droite du panneau d'accueil des politiques.
Pour mettre en œuvre les protections avancées, reportez-vous à la section Configurer la protection contre les menaces.
Les protections avancées possèdent des numéros de version et peuvent être mises à jour par Stormshield lorsque cela est nécessaire. En cas de mise à jour, vous pourrez alors les réimporter dans le panneau Protections avancées. Toutes les versions précédentes d'une protection restent disponibles dans la console d'administration.
Ticket Kerberos
Cette protection empêche de récupérer en mémoire les tickets Kerberos qui pourraient être utilisés ultérieurement pour mener une attaque Pass-the-Ticket.
| Type de jeu de règles | Protection |
| Niveau de log | Par défaut, Alerte |
| Génération d'un contexte | Systématique |
ARP Spoofing
Cette protection permet de surveiller l'interception, la modification ou l'arrêt du trafic réseau par des attaques ARP spoofing. L'évaluation de la table ARP est effectuée toutes les 5 minutes.
| Type de jeu de règles | Audit |
| Niveau de log | Par défaut, Alerte |
| Génération d'un contexte | Au choix (Oui par défaut) |
Persistance via WMI
Cette protection empêche des programmes malveillants de persister sur la machine en utilisant WMI (Windows Management Instrumentation).
Elle s'appuie sur les données du journal d'événements Microsoft-Windows-WMI-Activity/Operational. Sous Windows 7 et Server 2008, vous devez disposer de la mise à jour Windows KB3191566 pour que ce journal soit présent.
| Type de jeu de règles | Protection |
| Niveau de log | Par défaut, Alerte |
| Génération d'un contexte | Systématique |
Utilisations malveillantes de Certutil
Cette protection protège contre les utilisations malveillantes du programme Windows Certutil, permettant de gérer les certificats. Elle peut générer quelques faux-positifs car elle a besoin d'ouvrir en lecture des fichiers manipulés par Certutil. Si ces fichiers ne sont pas accessibles par manque de droits, l'action sur les certificats est considérée comme malveillante, même si elle est légitime.
| Type de jeu de règles | Protection |
| Niveau de log | Par défaut, Alerte |
| Génération d'un contexte | Systématique |
Découverte de l'environnement
Cette protection empêche l'utilisation d'outils Windows pour collecter des informations sur la machine et le système afin de conduire des opérations malveillantes.
| Type de jeu de règles | Protection |
| Niveau de log | Par défaut, Alerte |
| Génération d'un contexte | Systématique |
Ransomware
Cette protection surveille les modifications et chiffrements de fichiers. Si un certain nombre d'événements de ce type se produit dans un intervalle de trois secondes, elle stoppe le processus responsable. La protection facilite aussi la récupération des données chiffrées par le ransomware en permettant :
- d'identifier les fichiers modifiés par le ransomware,
- de restaurer les fichiers identifiés en s'appuyant sur les clichés instantanés Windows.
| Type de jeu de règles | Protection |
| Niveau de log | Par défaut, Alerte |
| Génération d'un contexte | Systématique |
Usurpation de processus parent (Parent PID Spoofing)
Cette protection empêche le démarrage de programmes qu'un attaquant déclarerait comme enfants de processus existants arbitrairement choisis afin de dissimuler les processus malveillants aux analystes de la sécurité.
| Type de jeu de règles | Protection |
| Niveau de log | Par défaut, Critique |
| Génération d'un contexte | Au choix (Oui par défaut) |