Extraction de menaces – Une méthode préventive pour Malwares basée sur des documents

Extraction de menaces – Une méthode préventive pour Malwares basée sur des documents

L’extraction de menaces protège de manière proactive contre les menaces connues et inconnues contenues dans les documents en supprimant le contenu exploitable. Cette méthode est également connue sous le nom de désinfection de fichier ou CDR (désarmement et reconstruction de contenu). La solution est unique car elle ne repose pas sur la détection, contrairement à la plupart des solutions de sécurité. Au lieu de cela, il facilite réellement la prévention du jour zéro, tout en fournissant rapidement des fichiers aux utilisateurs.

Prévention des attaques par le biais de documents

Dans de nombreux cas, l’infection par malware commence par un document. En 2019, environ 60% des pièces jointes malveillantes et 20% des téléchargements Web malveillants étaient transmis via des documents tels que PDF, Microsoft Office Word, Excel et PowerPoint.

Les exemples incluent Emotet Banking Trojan, jaff ransomware et le récent APT iranien MuddyWater. La technologie d’extraction des menaces empêche de telles attaques.

La diffusion de logiciels malveillants via des documents est devenue une méthode très efficace pour infecter les victimes.

Voici les principaux types de documents utilisés pour envoyer des logiciels malveillants par courrier électronique en 2019:

Basé sur Check Point ThreatCloud

Voici les principaux types de documents utilisés pour diffuser des logiciels malveillants par téléchargement Web en 2019

Basé sur Check Point ThreatCloud

Pas seulement dans la cybercriminalité: les logiciels malveillants basés sur des documents sont également utilisés dans les APT

En avril 2019, l’équipe de recherche de Check Point a découvert l’attaque ciblée iranienne APT, MuddyWater et le visualiseur Trojanized contre des cibles gouvernementales.

Les deux attaques ont été livrées à l’aide de documents dans la chaîne d’infection. MuddyWater utilisait un document Microsoft Word et Trojanized Teamviewer utilisait un document XLSM. Les deux fichiers ont été infectés par une macro malveillante. L’extraction de menaces a empêché les deux attaques en supprimant les macros malveillantes et les autres composants actifs incorporés.

Regard intérieur sur les attaques basées sur des documents

Nous allons examiner Jaff ransomware, une attaque basée sur des documents. Dans cet exemple, l’attaque commence lorsque la victime reçoit un fichier PDF sous forme de pièce jointe à un courrier électronique. Le nom du fichier et le contenu de l’e-mail varient et ont pour but d’inciter la victime à ouvrir le fichier.

Une fois que la victime a ouvert le fichier PDF, une action malveillante est invoquée et une fenêtre contextuelle l’invite à cliquer sur «OK» pour ouvrir un fichier:

Après avoir cliqué sur “OK”, un document Microsoft Word incorporé dans le PDF est automatiquement extrait et ouvert.

Le document Microsoft Word affichera de fausses informations à la victime, affirmant que le document est “protégé” et demandant à la victime de cliquer sur “Activer le contenu” afin d’ouvrir le document:

En cliquant sur “Activer le contenu”, Microsoft Word peut exécuter du code Visual Basic (macro), une fonction destinée à l’origine à automatiser des actions dans le document, mais qui est souvent utilisée à des fins malveillantes.

Dans notre cas, la macro se connecte à un serveur distant pour télécharger et exécuter un fichier exécutable malveillant. Les fichiers de la victime sont alors cryptés:

Prévention pratique avec l’extraction de menaces Check Point

La protection zéro jour SandBlast de Check Point utilise la technologie d’extraction de menaces pour éliminer les menaces en supprimant le contenu exploitable et en reconstruisant les documents à l’aide d’éléments sûrs connus.

L’extraction de menaces élimine les délais associés aux sandbox traditionnels et permet un déploiement réel pour une protection du jour zéro en mode préventif, tout en livrant rapidement les fichiers nettoyés aux utilisateurs.

Lorsqu’on examine l’attaque Jans ransomware décrite ci-dessus, Threat Extraction a nettoyé les fichiers du contenu malveillant.

Journal des événements d’extraction de menaces:

Le contenu suivant a été supprimé:

  1. Objets incorporés – Le document Microsoft Word codé qui était caché à l’intérieur du PDF.
  2. Actions JavaScript PDF – Action malveillante lancée une fois le fichier ouvert et extrayant le document incorporé.
  3. Macros and Code – Le code JavaScript qui ouvre le fichier avec le lecteur par défaut.

Supprimer seul l’un des contenus ci-dessus arrêterait complètement l’attaque.

User Friendly: accès autonome aux fichiers d’origine avec Threat Extraction

Bien que les éléments actifs soient très populaires dans les documents malveillants, les documents légitimes incluent très rarement des éléments actifs et, dans la grande majorité des cas, la différence entre le document épuré et le document original n’est pas perceptible à l’œil nu.

Néanmoins, dans de rares cas, l’utilisateur final cherche à accéder au fichier d’origine pour diverses raisons. Une fois que le fichier a terminé une analyse supplémentaire par le bac à sable SandBlast Threat Emulation et que son innocuité est confirmée, Threat Extraction permet un accès autonome au fichier d’origine.

Cette approche permet aux services informatiques de déployer la solution avec un impact minimal sur les utilisateurs et sans surcharger leur service d’assistance.

Un exemple de fichier téléchargé nettoyé:

Conclusion

Les logiciels malveillants fournis par le biais de documents sont très courants. La technologie de désinfection de fichiers Threat Extraction joue un rôle majeur dans la prévention de ces attaques en utilisant une méthode de prévention unique et pratique pour supprimer le contenu exploitable.

Pour obtenir un maximum de sécurité, de productivité et de convivialité, nous recommandons aux entreprises d’utiliser des solutions de sécurité offrant une approche de prévention hybride associant nettoyage des fichiers et sandboxing avancé.

Les produits Check Point Sandblast offrent une solution hybride efficace en combinant la désinfection des fichiers Threat Extraction et le sandboxing de Threat Emulation dans une solution unique.

Threat Extraction fournit rapidement un contenu sécurisé et assaini à la destination souhaitée et assure la productivité, tandis que le sandboxing de SandBlast Threat Emulation effectue une analyse approfondie du fichier et détermine si celui-ci était malveillant ou non. L’utilisateur final peut accéder au fichier d’origine s’il n’est pas classé comme malveillant.

Check Point continue d’innover en permettant cette capacité essentielle sur la passerelle. Par conséquent, les fichiers téléchargés sur le Web ou les fichiers envoyés par courrier électronique sont extraits et nettoyés avant d’atteindre l’utilisateur.

L'authentification peut-elle avoir un impact négatif sur l'expérience utilisateur? Vision 2020: prévisions de Check-Point en matière de cybersécurité pour la nouvelle année