Cloud Antivirus et Détections ProActives / Comportementales

Depuis 2012, certains éditeurs d’antivirus sont passés à des solutions de « Cloud Antivirus » et ont aussi ajoutés des détections comportementales.
Plus récemment Windows Defender a aussi emboîte et introduit une détection dans le Xloud depuis la mise à jour Creators Update, plus d’informations : Windows Defender est-il efficace?

Une détection Cloud consiste à la soumissions d’un échantillon de fichiers aux serveurs de l’éditeur qui statut sur ce fichier (menace ou non). Cela permet de déporter les définitions antivirus, de plus en plus importantes.
Cela permet aussi et surtout une protection en temps réel qui ne dépend pas de la mise à jour des définitions virales sur le client antivirus.

Je n’avais pas trop regardé les antivirus payants, ces derniers temps, à vrai dire pas trop en 2011. Un peu prisonnier des antivirus gratuits, il faut dire qu’en France, ils représentent +60% du marché.
Il existait une ancienne page sur les antivirus que je mettrai à jour suite à ce billet : Infections VS Antivirus
La présentation de ces trois a permis de se mettre un peu à jour et du coup, voici un billet concernant le Cloud et les détections Proactives/Comportementales

Détection ProActives / Comportementales

Sur la présentation de Kaspersky Antivirus 2012, on peux voir que Kaspersky bloque un fichier fus.exe dont la détection au moment du test était de 2/ 44 (4.5%) sur VirusTotal.
De même dans le test de Norton, celui bloque un fichier Youtube.exe avec le même taux de détection.
Enfin BitDefender bloque aussi un malware/virus avec ce taux de détection.

J’ai testé le fichier fus.exe bloqué par Kasperksy juste après sur Norton et BitDefender. Voici ce que l’on constate.

Norton le bloque aussi :

Cloud Antivirus et Détections ProActives / Comportementales

Cloud Antivirus et Détections ProActives / Comportementales

Cloud Antivirus et Détections ProActives / Comportementales

BitDefender aussi :

Cloud Antivirus et Détections ProActives / Comportementales

Comment est-ce possible alors que les antivirus ne le détectent pas ?

Comme évoqué sur le billet RAT, Bifrose, Cybergate, Spynet : Botnet pour les nuls, il est possible d’échapper aux détections de fichiers via des packers/crypters et autres.
Ceci permet de créer des centaines de droppers par semaine/jour qui ne seront pas détectés par les antivirus. L’exemple ci-dessus est le cas.

Maintenant regardons ces trois détections :
http://www.virustotal.com/file-scan/report.html?id=0c588daac6ac9a0d8be4188029467515cc2e0680510b1bc7b585bd163eb9d49f-1316551721

File name: clocktime.exe
Submission date: 2011-09-20 20:48:41 (UTC)
Current status: finished
Result: 29/ 44 (65.9%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.09.20.05	2011.09.20	Trojan/Win32.VBKrypt
AntiVir	7.11.14.250	2011.09.20	TR/Injector.311296.1
Antiy-AVL	2.0.3.7	2011.09.20	Trojan/Win32.VBKrypt.gen
Avast	4.8.1351.0	2011.09.18	Win32:Malware-gen
Avast5	5.0.677.0	2011.09.18	Win32:Malware-gen
AVG	10.0.0.1190	2011.09.20	PSW.VB.DSR
BitDefender	7.2	2011.09.20	Gen:Variant.Kazy.37183
DrWeb	5.0.2.03300	2011.09.20	Trojan.PWS.Siggen.25233
Emsisoft	5.1.0.11	2011.09.20	Trojan-PWS.VB!IK
F-Secure	9.0.16440.0	2011.09.20	Gen:Variant.Kazy.37183
Fortinet	4.3.370.0	2011.09.20	W32/VBKrypt.GEJE!tr
GData	22	2011.09.20	Gen:Variant.Kazy.37183
Ikarus	T3.1.1.107.0	2011.09.20	Trojan-PWS.VB
Jiangmin	13.0.900	2011.09.20	Trojan/VBKrypt.defp
K7AntiVirus	9.113.5168	2011.09.20	Trojan
Kaspersky	9.0.0.837	2011.09.20	Trojan.Win32.VBKrypt.geje
McAfee	5.400.0.1158	2011.09.20	Artemis!3131EEE0B7A9
McAfee-GW-Edition	2010.1D	2011.09.20	Artemis!3131EEE0B7A9
Microsoft	1.7604	2011.09.20	VirTool:Win32/VBInject
NOD32	6480	2011.09.20	a variant of Win32/Injector.JCH
Norman	6.07.11	2011.09.20	W32/Fakeav.BB!genr
nProtect	2011-09-20.01	2011.09.20	Gen:Variant.Kazy.37183
Panda	10.0.3.5	2011.09.20	Trj/CI.A
Symantec	20111.2.0.82	2011.09.20	Trojan.Gen
TrendMicro-HouseCall	9.500.0.1008	2011.09.20	TROJ_GEN.R04C3IK
VBA32	3.12.16.4	2011.09.20	Trojan.VBKrypt.geje
VIPRE	10534	2011.09.20	Trojan.Win32.Generic!BT
VirusBuster	14.0.222.0	2011.09.20	Trojan.VBKrypt!1NDPelAzYj0
Additional information
Show all
MD5   : 3131eee0b7a95d34f2a847d6b0a9f72b
SHA1  : ce73aebfd3ca51cec00fbcd8bb95c1ad23b7124a
SHA256: 0c588daac6ac9a0d8be4188029467515cc2e0680510b1bc7b585bd163eb9d49f
et : http://www.virustotal.com/file-scan/report.html?id=59424f4686f540fdb2a19804dcad0937d8f7f44880d9fef58d2cb7378def5807-1316551728
File name: thisforbs.exe
Submission date: 2011-09-20 20:48:48 (UTC)
Current status: finished
Result: 29/ 44 (65.9%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.09.20.05	2011.09.20	Trojan/Win32.VBKrypt
AntiVir	7.11.14.250	2011.09.20	TR/Injector.569344.2
Avast	4.8.1351.0	2011.09.18	Win32:Malware-gen
Avast5	5.0.677.0	2011.09.18	Win32:Malware-gen
AVG	10.0.0.1190	2011.09.20	Injector.ERV
BitDefender	7.2	2011.09.20	Worm.Generic.344629
Comodo	10183	2011.09.20	TrojWare.Win32.KeyLogger.VB.~AE
DrWeb	5.0.2.03300	2011.09.20	BackDoor.Siggen.687
Emsisoft	5.1.0.11	2011.09.20	Trojan.Injector!IK
eSafe	7.0.17.0	2011.09.20	Win32.GenVariant.Kaz
F-Secure	9.0.16440.0	2011.09.20	Worm.Generic.344629
Fortinet	4.3.370.0	2011.09.20	W32/Malware_fam.NB
GData	22	2011.09.20	Worm.Generic.344629
Ikarus	T3.1.1.107.0	2011.09.20	Trojan.Injector
Jiangmin	13.0.900	2011.09.20	Trojan/Generic.mxjj
K7AntiVirus	9.113.5168	2011.09.20	Riskware
Kaspersky	9.0.0.837	2011.09.20	HEUR:Trojan.Win32.Generic
McAfee	5.400.0.1158	2011.09.20	Generic.dx!b2uj
McAfee-GW-Edition	2010.1D	2011.09.20	Generic.dx!b2uj
Microsoft	1.7604	2011.09.20	VirTool:Win32/VBInject
NOD32	6480	2011.09.20	Win32/VB.NXB
Norman	6.07.11	2011.09.20	W32/Suspicious_Gen2.QQOAX
nProtect	2011-09-20.01	2011.09.20	Worm/W32.Agent.569344.G
Panda	10.0.3.5	2011.09.20	Trj/CI.A
Sophos	4.69.0	2011.09.20	Mal/Generic-L
SUPERAntiSpyware	4.40.0.1006	2011.09.20	-
TrendMicro	9.500.0.1008	2011.09.20	TROJ_INJECTO.JP
TrendMicro-HouseCall	9.500.0.1008	2011.09.20	TROJ_INJECTO.JP
VIPRE	10534	2011.09.20	Trojan.Win32.Generic!BT
VirusBuster	14.0.222.0	2011.09.20	Trojan.Injector!6yTC5ka8igE
Additional information
Show all
MD5   : 958f8fdbc9abc4b1c5f5bd56f90c951f
SHA1  : 6b01608fb6d73011a2214b7d17a236bc86855fd7
SHA256: 59424f4686f540fdb2a19804dcad0937d8f7f44880d9fef58d2cb7378def5807

et enfin plus récent : http://www.virustotal.com/file-scan/report.html?id=a12672af336a8d42463d5d41afabc1e47e884592fb30addedd014a51917b305f-1316551732

File name: notepad.exe
Submission date: 2011-09-20 20:48:52 (UTC)
Current status: finished
Result: 14/ 44 (31.8%)	VT Community

Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.09.20.05	2011.09.20	Trojan/Win32.VBKrypt
Avast	4.8.1351.0	2011.09.18	Win32:VB-YJC [Trj]
Avast5	5.0.677.0	2011.09.18	Win32:VB-YJC [Trj]
AVG	10.0.0.1190	2011.09.20	SHeur4.CML
BitDefender	7.2	2011.09.20	Gen:Variant.Kazy.38081
DrWeb	5.0.2.03300	2011.09.20	Tool.BtcMine.8
Emsisoft	5.1.0.11	2011.09.20	Worm.Win32.Nayrabot!IK
F-Secure	9.0.16440.0	2011.09.20	Gen:Variant.Kazy.38081
GData	22	2011.09.20	Gen:Variant.Kazy.38081
Ikarus	T3.1.1.107.0	2011.09.20	Worm.Win32.Nayrabot
Kaspersky	9.0.0.837	2011.09.20	Trojan.Win32.VBKrypt.grgw
NOD32	6480	2011.09.20	a variant of Win32/Injector.JGU
nProtect	2011-09-20.01	2011.09.20	Gen:Variant.Kazy.38081
Panda	10.0.3.5	2011.09.20	Suspicious file

Additional information
Show all
MD5   : 6a46f5c6ffae9e26bbf0c0cf9f193bd1
SHA1  : 60053142bbb37d5423ad40d23fafbec9f853a41e
SHA256: a12672af336a8d42463d5d41afabc1e47e884592fb30addedd014a51917b305f

Les détections ne sont donc pas les mêmes et pourtant, regardons les strings en mémoires de ces trois fichiers :

Cloud Antivirus et Détections ProActives / Comportementales

Cloud Antivirus et Détections ProActives / Comportementales

Cloud Antivirus et Détections ProActives / Comportementales

On voit que ce sont exactement les mêmes.
En réalité, ces trois fichiers sont le même malware/virus : BlackShades RAT
Le code du fichier est offusqué par différents crypters/packers d’où les détections différentes mais « derrière » le malware est strictement le même à la version près. Ces trois fichiers auront donc le même comportement et donc les strings en mémoire sont rigoureusement identiques.

Du coup, pour contrer les milliers de nouveaux malware/virus qui sont en réalité de nouveaux droppers pour des familles de malwares déjà connues, dont le code est offusqué par des crypters/packers, les antivirus intègrent des détections comportementales/proactives.
Les comportements général des droppers peux aussi être identiques d’une famille à l’autre (Injections de processus systèmes, créer de fichiers temporaires dont souvent des fichiers batchs, exclusions sur le pare-feu Windows etc).

A partir des éléments en mémoire, le comportement du processus – ce dernier peux être jouer dans une sandbox avant l’exécution réelle sur le système – l’antivirus peux alors déterminer si ce dernier a un comportement connu de familles ou de droppers génériques.
Dès lors des nouveaux droppers dont la détection de fichier est quasi-nulle peuvent être détectés au moment de l’exécution du malware sur le système. J’insiste sur le exécution. D’où la nullité en terme de résultat des scans à la demande.

Bien entendu, il faut que l’éditeur génère des règles de détection de malware/virus génériques mais aussi des règles pour détecter des familles particulières.
D’autre part, si demain, une nouvelle famille apparaît, il faut créer cette nouvelle règle ProActive.

Enfin, comme toute détection, cela peux générer des faux positifs.

Cloud et Antivirus

Le Cloud Antivirus avait été déjà abordé lors du comparatif des antivirus gratuits 2010 : https://forum.malekal.com/comparatif-antivirus-gratuits-2010-t23535.html#p196486
On découvrait alors le Web Reputation de Trend-Micro à travers le Cloud en temps réel.

Cloud Antivirus et Détections ProActives / Comportementales

Le Cloud, c’est déporté la base des définitions virales locale au niveau des serveurs de l’antivirus. Ceci a plusieurs effets :

  • Cela allège les clients antivirus qui n’ont plus besoin d’embarquer une base de définition virale de A à Z – simplement lorsqu’on passe en mode déconnecté.
  • La base peux être beaucoup plus volumineuses – Les traitements étant maintenant effectuées du côté des serveurs de l’antivirus. Cela permet de faire du File Reputation antivirus ou du Web Reputation.
  • Les temps de mise à jour de la base sont en théorie plus rapides – en effet – plus besoin de mettre à jour l’antivirus locale. Le temps entre l’ajout de détection, la mise en ligne au niveau du serveur et le téléchargement de la mise à jour par le client Antivirus peux être casi immédiat. Je dis en théorie, car c’est dans le cas où on a du Cloud en temps réel – Rien ne dit que l’ajout de détection et la mise à disposition dans le Cloud soit fait au même instant. On peux imaginer que la mise à jour de la base de données du Cloud soit fait par exemple tous les quarts d’heure chez certains éditeurs. Il y a donc du Cloud en temps réel et du Cloud semi-temps réel. Tous les éditeurs d’antivirus ne pouvant pas investir les mêmes sommes. Démonstration au niveau de Windows Defender sur le terrain.

Cela peut, par contre, poser des problèmes de confidentialités, par exemple Avast! récupère les URLs visitées, les adresses emails et les objets des mails..
Les hashs et portions de fichiers sont aussi récupérés, cela peut aussi poser des problèmes pour les entreprises.

Cloud Antivirus et Détections ProActives / Comportementales

Sur les dernières présentations des Antivirus 2012, on voit que le Cloud est maintenant très présents, surtout chez Kaspersky et Norton.

Cloud Antivirus et Détections ProActives / Comportementales

Cloud Antivirus et Détections ProActives / Comportementales

Web Reputation chez BitDefender et Kaspersky :

Cloud Antivirus et Détections ProActives / Comportementales

Cloud Antivirus et Détections ProActives / Comportementales

En mixant les deux, Norton créé, par exemple, les détections : WS.Reputation.1 / Suspicious.Insight
Cette détection mixte des fichiers inconnus de la base de reputation de Norton (donc nouveau ou compilé récemment) et dont le contenu ProActive correspond à une menace.
Ceci peux éventuellement réduire les faux positifs.

D’autre part, les détections proactive avec le file Reputation permet une recrudescence de la surveillance du système et savoir si on est infecté et/ou potentiellement identifier un fichier non venue pour l’utilisateur via une liste des fichiers en cours d’exécution. La majeur partie des fichiers en cours d’exécution seront en verts car connu de l’éditeur d’antivirus.

Antivirus payants VS Antivirus gratuits

En 2007/2009, le fossé entre les antivirus payants et gratuits n’étaient pas énormes et ne justifiait pas forcément le passage du gratuit vers le payant.
(ici on raisonne avec un PC de monsieur tout le monde, à savoir un gratuit sans rien à côté, pas les PC des internautes confirmés qui augmentent la protection ou pallie la protection des gratuits, avec d’autres programmes : NoScript, Comodo, StormShield ou autres).
En effet les modules offerts par les payants n’offraient pas une différence significatives en terme de protection.

Avec l’arrivé du Cloud et des détections proactives (actuellement les versions gratuites n’en ont pas), la protection offerte par les payantes est bien supérieur à un gratuit tout seul, cela peux relancer l’intérêt des payants.
C’est surtout vrai dans le cas d’Antivir et AVG, un peu moins pour Avast! avec sa Sandbox mais ne se lance pas sur tous les fichiers nouveaux.

Ci-dessous Avast! et Antivir VS notre fameux fichier fus.exe

On voit que l’on peux exécuter le fichier fus.exe sans qu’Avast! n’émet d’alerte.

Cloud Antivirus et Détections ProActives / Comportementales
puis fus.exe lance un autre fichier fus.exe (les icônes sont différentes)
Cloud Antivirus et Détections ProActives / Comportementaleset notre infection est installée… le « nouveau » fus.exe contacte son Control Center – Le fichier malicieux est droppé dans %APPDATA% et une clef Run est ajoutée pour se lancer à chaque démarrage de Windows.
Avast! n’a rien vu.
Cloud Antivirus et Détections ProActives / Comportementales

Du côté d’Antivir avec le WegGuard activé.
Antivir ne bronche pas sur l’URL

Cloud Antivirus et Détections ProActives / Comportementales

Cloud Antivirus et Détections ProActives / Comportementales

fus.exe se lance sans soucis..

Cloud Antivirus et Détections ProActives / Comportementales

et l’infection s’installe..

Cloud Antivirus et Détections ProActives / Comportementales

Echec et Mat !

Pourquoi cela fonctionne ?

car les deux seuls protections offertes par les gratuits sont la détection de fichiers et la blacklistage d’URL.
Or notre fus.exe comme expliqué plus haut et tout chaud, tout a été fait pour échapper à ces détections de fichiers.
Quant au blacklistage d’URL, il est assez limité dans le cas des gratuits.

On voit donc la différence entre une détection de fichiers et les détections proactives/comportementales.
A l’heure actuelle, des antivirus gratuits « tout seul » ne sont pas suffisants.

Conclusion

Les antivirus payants sont entrés depuis l’année dernière et encore plus vrais, dans une nouvelle dimension via le Cloud et les détections proactives.
Les détections proactives permettent de répondre à la problématiques des droppers compilées par milliers pour échapper aux détections de fichiers.
Bien entendu, on peux s’attendre à ce que les auteurs de malware/virus répondent et tentent à leurs tours de d’échapper à ces détections proactives, puisqu’elles vont se généraliser.

Ce qui peux relancer l’intérêt des antivirus payants – Le standard étant devenu :

  • Détection de fichiers et protection en temps réel
  • Détection Proactive / Comportementale
  • Web ou file Reputation
  • Scan de vulnérabilités

Cela montre aussi, c’était vrai il y a quelques années, qu’on ne peux plus se faire une idée d’un antivirus à partir des détections de fichiers quand celui-ci intègre des protections proactives/comportementales, car on ne sait pas qu’elle va être sa réaction lors de l’exécution de fichiers. De quoi rendre encore plus obsolète les comparatifs sur scan à la demande.

(Visité 1 478 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet