Protection contre les ransomwares : une nouvelle technologie qui change la donne

Elements Endpoint Protection for Servers de WithSecure dispose d'une nouvelle fonctionnalité de protection contre les ransomwares : Server Share Protection. Celle-ci monitore les activités potentiellement malveillantes en temps réel, grâce à une technologie appelée Activity Monitor. Au cours de la session, si une menace est confirmée, Server Share Protection bloque la dernière opération puis annule toutes les modifications qui ont suivi, pour restaurer l'environnement dans l'état où il se trouvait avant l'attaque.

DeepGuard (le moteur de notre système host-based de prévention des intrusions (HIPS)) bloque immédiatement les activités suspectes. Dans de rares occasions, cela peut engendrer des faux positifs et des retards pour l'utilisateur. Par exemple, dans le cas d'une application, une mise à jour standard encore jamais observée peut être bloquée si elle tente de télécharger et du code depuis un serveur distant (comportement suspect). Une telle situation est frustrante pour l'utilisateur mais l'alternative consiste à bloquer plus tard le processus, au risque de voir s'exécuter du code malveillant.

La nouvelle fonctionnalité Server Share Protection permet de surmonter ce problème, en particulier pour les attaques de ransomware. Server Share Protection permet d'annuler toute modification effectuée après le début du monitoring. Il n'est plus nécessaire de bloquer d'emblée l'activité suspecte. Les faux positifs et les perturbations utilisateur sont ainsi beaucoup moins nombreuses.

Cette protection vise spécifiquement les ransomwares, car ces derniers chiffrent généralement les fichiers au lieu de les voler. Si un ransomware commence à s'exécuter sur votre ordinateur, le système commence automatiquement à monitorer la session et suit toute l'activité en temps réel. Si un code malveillant lance un processus qui lance à son tour un autre processus et se propage dans différentes zones du système, chaque étape de la session est monitorée et des sauvegardes temporaires des fichiers concernés sont régulièrement créées.

Si l'un de vos fichiers est chiffré, vous pouvez facilement annuler les modifications apportées au cours de la session et rétablir ainsi un accès normal. Toutefois, cela ne fonctionne pas aussi bien avec les malwares voleurs d’informations : notre protection peut annuler les modifications mais elle ne peut ramener des données qui ont été copiées et supprimées au cours de la même session.

De nombreuses solutions de protection des endpoints utilisent la fonctionnalité Shadow Copy fournie par Microsoft Windows. Nous avons remarqué que dans de nombreux cas, les ransomwares ou autres malwares tentent activement de désactiver cette fonctionnalité, pour rendre les sauvegardes Shadow Copy inutilisables. L'approche propriétaire de WithSecure est nouvelle, car elle ne sauvegarde que ce qui est nécessaire, et seulement pour la période où cela est nécessaire. 

Broderick Aquilino, Lead Researcher chez WithSecure, explique comment cette nouvelle technologie a été imaginée et développée :

« Nous souhaitions copier l'approche sandbox que nous utilisons dans le back-end, pour l'utiliser sur les endpoints. Un sandbox fonctionne en isolant le code non testé. En le laissant s'exécuter dans un cadre fermé, vous pouvez comprendre comment se comporte ce code suspect. Cependant, cette approche demande du temps, et n'est donc pas très adaptée aux endpoints. Un utilisateur serait contraint d'attendre plusieurs minutes pour obtenir le résultat d'un sandboxing.

« Nous avons donc cherché à concevoir une approche similaire mais adaptée aux endpoints. Pour préserver l'expérience utilisateur, nous avons décidé de laisser le ransomware s'exécuter sur le système : il peut donc chiffrer les fichiers. Mais nous avons conçu une fonction capable de monitorer le chiffrement malveillant des fichiers pour ensuite effectuer un retour en arrière automatique, sans interaction de l'utilisateur. Et le fichier malveillant est supprimé. » 

Server Share Protection fonctionne automatiquement en arrière-plan. L'administrateur n'a qu'à activer la fonction dans la plateforme Elements Endpoint Protection : Server Share Protection pourra ensuite identifier automatiquement tous les dossiers partagés sur votre serveur Windows (l'administrateur du portail Elements peut toutefois choisir d'exclure certains dossiers partagés afin qu'ils ne soient pas tracés). Ensuite, Server Share Protection fonctionnera de manière totalement silencieuse ; il n'enverra aucune notification, sauf s'il détecte un ransomware tentant de chiffrer vos fichiers.

L'option proposée par défaut est le mode « rapport ». Dans ce mode, si le logiciel détecte un chiffrement par ransomware, l'administrateur reçoit une notification mais la fonction de retour en arrière n'est pas automatiquement activée. Vous pouvez choisir cette option si vous êtes préoccupé par les faux positifs et si vous ne voulez pas annuler accidentellement des modifications légitimes apportées à l'ordinateur.

L'autre option est le mode « normal », dans lequel la fonction de retour en arrière est automatiquement activée. Dans ce mode, l'administrateur reçoit une notification indiquant que le ransomware a tenté de chiffrer certains fichiers, avec la liste des fichiers et dossiers concernés. Quelques secondes plus tard, il reçoit une notification de suivi indiquant que tous les fichiers ont été automatiquement restaurés à leur état antérieur. 

Une future version de la protection contre les ransomwares devrait inclure une fonction d’ « annulation sélective ». Cette option pourra s'appliquer aux cas très improbables où l'administrateur souhaite annuler un retour en arrière déclenché par une activité malveillante. De cette façon, les « bons » fichiers modifiés pendant la session de l'utilisateur en cours seront conservés et seuls les fichiers infectés seront restaurés.