Lastline défend l’émulation pour détecter les menaces inconnues
Rencontrée à l’occasion de la dernière édition des Assises de la sécurité, début octobre à Monaco, la jeune pousse Lastline mise sur l’émulation pour détecter les menaces inédites.
Rencontrée à l’occasion de la dernière édition des Assises de la sécurité, début octobre à Monaco, la jeune pousse Lastline mise sur l’émulation pour détecter les menaces inédites. Engin Kirda, son co-fondateur, par ailleurs enseignant à la Northeastern University de Boston, décrit une entreprise créée par des enseignants chercheurs, et spécialisée dans la détection des logiciels malveillants et des attaques sophistiquées. Et si la mise en bac à sable (ou sandboxing) des codes suspects est « devenue très populaire », les nuances sont là importantes : « créer un bac à sable n’est pas très difficile. Mes élèves le font en quelques heures. Mais créer un bac à sable permettant d’analyser le code de manière très sophistiquée, invisible pour le code suspect, est un véritable défi de l’analyse de code dynamique, à savoir la résistance aux tentatives d’évasion. »
Une vision fine sur le code suspect
Et c’est justement là l’objet des travaux de recherche qui ont conduits à la création de la Lastline. Modeste, Engin Kirda estime qu’il est impossible de clamer « faire le travail parfaitement », tout en ajoutant : « je pense que nous faisons un meilleur travail que les autres. Nous détectons certaines tentatives d’évasion que les autres ne sont pas capables de détecter. »
Son originalité ? Ne pas recourir à la virtualisation mais miser plutôt sur l’émulation, avec « un émulateur hautement instrumenté où même les composants matériels sont émulés. » De quoi permettre de voir « toutes les instructions que le logiciel malveillant essaie d’exécuter » et surtout de faire des choses « complexes telles que le suivi dynamique des flux : on peut effectivement voir comment les données sont lues [par le logiciel], comment elles sont traitées dans l’applications, si elles sont transmises sur le réseau, etc. Nous disposons d’un contrôle très granulaire sur l’exécution du code suspect. » De quoi analyser finement les comportements et « construire des modèles de détection. »
Où les performances important finalement assez peu
Mais cela n’a-t-il pas des impacts négatifs sur les performances des équipements dédiés à l’analyse ? Si l’émulation est plus lente que la virtualisation, Engin Kirda estime que cela compte finalement peu : « si vous voulez conduire une analyse dynamique, vous devez exécuter le code pour au moins 5 à 10 minutes. Et à ce stade, la différence de performances compte assez peu. »
A quel étape de la lutte contre la menace interviennent donc les outils de Lastline ? « A toutes les étapes. Cela dépend. Si certains comportements connus sont détectés, on peut bloquer en direct, un peu comme le ferait un anti-virus. Mais pour une attaque zero-day, l’analyse est indispensable et là, il faut compter quelques minutes d’exécution. » Il s’agit donc alors de détection après infection, mais permettant néanmoins une réaction rapide, ne serait-ce qu’en bloquant les communications du logiciel malveillant vers l’extérieur.
Un déploiement comme un IPS
La capacité à surveiller le trafic réseau est essentielle. D’où un déploiement « un peu comme un IPS [système de prévention des intrusions] : nous avons besoin de voir le trafic Internet ; nous examinons par exemple les requêtes en résolution DNS, les connexions à des domaines suspects comme ceux de centres de commande et de contrôle, les pièces jointes des e-mails ; nous faisons beaucoup de choses variées que nous corrélons entre elles. Plus nous avons de visibilité sur ce qui se passe sur le réseau, plus nous pouvons corréler et donc détecter. »
Reste que, pour Engin Kirda, « de plus en plus de personnes réalisent que l’analyse dynamique est aujourd’hui nécessaire pour détecter des attaques inédites. » Un complément à l’analyse statique bien connue, qui nécessite d’être mis en œuvre avec soin.