Guides et solutions

Hypervisor Introspection

Détecter les attaques ciblées avec l’introspection de l‘hyperviseur

[2]

Guides et solutions

Sommaire

1. Aperçu ............................................................................................................................................................. 3

2. Introduction .................................................................................................................................................... 3

3. Le problème de sécurité .............................................................................................................................. 3

La racine du problème ............................................................................................................................ 3

Savoir ce que vous ignorez .......................................................................................................... 3

Facteurs déterminants ........................................................................................................................... 4

Problèmes liés à la virtualisation ................................................................................................ 4

Techniques d’attaque .................................................................................................................... 4

Attaques ciblées, furtives, zero-day ............................................................................................ 4

4. Défis techniques ............................................................................................................................................ 5

Contexte vs. isolement ........................................................................................................................... 5

Niveau de privilège .................................................................................................................................. 5

5. La solution ...................................................................................................................................................... 5

Relever les défis techniques .................................................................................................................. 5

6. Conclusion ....................................................................................................................................................... 7

[3]

Guides et solutions

1. AperçuLes derniers gros titres sont particulièrement éloquents : protéger les charges de travail et les données sensibles est impératif ; pourtant les outils traditionnels de protection des endpoints ne sont pas capables de se mettre au niveau des nouvelles technologies d’attaque et donc encore moins de prendre de l’avance sur leur évolution. La plupart des activités s’opérant dans les datacenters est aujourd’hui invisible mais cela ne devrait pas être le cas.

La virtualisation a ajouté une couche “hyperviseur” sous les systèmes d’exploitation, permettant à chaque hôte physique d’exécuter plusieurs systèmes d’exploitation invités. À ce jour, ce changement architectural fondamental n’a pas été mis à profit pour sécuriser ces systèmes d’exploitation invités et leurs charges de travail.

Bitdefender a ainsi coopéré avec Citrix afin de développer une technologie capable de révéler une activité malveillante au sein des systèmes d’exploitation invités, au niveau de l’hyperviseur sous-jacent. Cette approche ne représente pas une simple évolution dans la sécurisation des charges de travail et des endpoints, on peut parler de révolution pour leur sécurité.

2. Introduction La sécurité des endpoints est un sujet complexe. Jusqu’à présent, le concept même de la protection des endpoints était limité à la sécurité exécutée au sein de ces derniers - les serveurs Windows et Linux et les systèmes d’exploitation de postes de travail dont dépendent toutes les entreprises modernes - ou à celles des appareils connectés au réseau.

Les cybercriminels en profitent ; ils utilisent des techniques et des outils sophistiqués pour compliquer la détection de leurs activités malveillantes par les logiciels de sécurité traditionnels. Les rootkits au niveau du kernel, les attaques zero-day, les centres de commande et de contrôle de nouvelle génération développés sur mesure, etc. sont désormais monnaie courante.

Ces nouvelles attaques sont très différentes des attaques de masse d’autrefois. Ces dernières étaient conçues pour infecter le plus de systèmes possibles et avaient tendance à révéler leur présence à cause d’un redémarrage du système ou de la génération de niveaux extrêmes de trafic réseau, etc. Les attaques à but lucratif plus récentes sont développées pour être furtives et pour contourner les outils de sécurité traditionnels. L’objectif est simple : infiltrer vos systèmes les plus sensibles et exfiltrer vos données confidentielles les plus précieuses, à votre insu.

Donner la possibilité de révéler ce que vous ne connaissiez pas jusqu’alors signifie vous offrir une meilleure visibilité sur votre réseau et votre datacenter. Alors que les attaques ont rapidement évolué, dans le même temps, le cadre de l’infrastructure informatique de l’entreprise s’est complètement transformé. L’hyperviseur est désormais un intermédiaire entre les endpoints virtualisés et le matériel physique. La sécurité des endpoints n’a pas, jusqu’à présent, connu le même changement de paradigme. La sécurité traditionnelle au niveau du réseau peut fonctionner via une une appliance virtuelle mais celle-ci réalise une inspection du trafic réseau de façon classique. Les agents traditionnels de sécurité exécutés au sein des systèmes protégés peuvent transférer certaines tâches de sécurité vers une appliance virtuelle pour améliorer les performances mais ils sont encore limités par des contraintes techniques au sein même du système d’exploitation des endpoints.

Ce livre blanc s’attaque à la racine du problème rencontré par la sécurité endpoint traditionnelle, à comment les pirates exploitent les failles de sécurité et introduit une nouvelle approche appelée “l’introspection de la mémoire au niveau de l’hyperviseur”, qui permet de révéler une activité malveillante dissimulée au sein de votre datacenter.

3. Le problème de sécurité La racine du problème

Savoir ce que vous ignorez

À mesure que les entreprises mettent en place des datacenters avec des infrastructures toujours plus abstraites, l’informatique “à la demande” devient de plus en plus une réalité. Pourtant, la sécurité peine à suivre la cadence de cette révolution liée à la virtualisation.

Bitdefender et Citrix ont développé une technologie qui fournit aux propriétaires de datacenters une visibilité sur tout ce qui se passe au sein de l’infrastructure ; la capacité de visualiser ce qu’il était jusqu’alors impossible de voir. Ceci est bien plus qu’une nouvelle version d’une technologie de sécurité déjà existante - c’est une révolution.

[4]

Guides et solutions

Facteurs déterminants

Les problèmes liés à la virtualisation

La virtualisation a facilité d’importants changements dans la planification, l’architecture et la gestion des datacenters. Les fournisseurs de services IT internes et externes adoptent un paradigme de type “à-la-demande”, basé sur des concepts de “everything as a service” (EaaS) et une approche “software-defined”. La sécurité des endpoints continue d’évoluer par itérations, y compris en résolvant les problèmes de performance en transférant certaines tâches des endpoints vers des appliances virtuelles. Le problème est que le modèle sous-jacent de la sécurité des endpoints n’a pas connu, et encore moins adopté, le même niveau de rupture technologique que l’informatique des endpoints en général. Cela a conduit à l’évolution lente des modèles traditionnels de sécurité des endpoints alors que l’architecture et les opérations des datacenters ont été révolutionnées par la virtualisation.

Les contraintes fondamentales de la sécurité traditionnelle des endpoints, dont beaucoup sont décrites dans la partie consacrée aux défis techniques ci-dessous, peuvent être traitées en adoptant l’ensemble des composants de la pile informatique offerts par la virtualisation. Plutôt que de se reposer uniquement sur des logiciels basés sur des agents invités, fonctionnant au même niveau de privilège que les malwares, l’hyperviseur XenServer fournit désormais un mécanisme pour protéger les machines virtuelles et les charges de travail qu’elles hébergent, directement depuis le niveau de l’hyperviseur.

Techniques d’attaque

Lorsque les attaques sont analysées en profondeur, la conclusion est que beaucoup d’entre elles utilisent des techniques similaires, à un certain moment de leur cycle de vie. Souvent, ces techniques impliquent la manipulation de la mémoire, les débordements de la mémoire tampon, les dépassements de tas, les injections de code, etc.

De nombreuses solutions de sécurité recherchent des activités spécifiques ou des exploits associés à des vulnérabilités connues. Les pirates qui utilisent les attaques les plus sophistiquées le savent bien et évitent les mécanismes les plus usuels, facilement détectés. Il est bien connu que les pirates, très organisés et mus par l’appât du gain, recherchent des vulnérabilités inconnues (vulnérabilités zero-day) ou encore utilisent des exploits à usage uniques développés spécifiquement (exploits zero-day). Les cybercriminels utilisent également des techniques de pointe pour retarder et séquencer le déclenchement de la charge utile de leurs attaques afin de masquer leur activité malveillante. Ils intègrent même des solutions de sécurité dans le cadre de leur processus de contrôle “d’assurance qualité”.

Trouver une solution à cet aspect du problème implique de ne pas se reposer sur la recherche d’attaques connues et d’activités malveillantes rencontrées auparavant, ou encore de recourir à des techniques de correction des vulnérabilités. Ces approches, bien que valables, ont une portée trop étroite ou trop agressive. Même quand un juste milieu est trouvé, on sacrifie par définition soit les faux négatifs (ne pas détecter les attaques qui ne relèvent pas d’une portée étroite) soit les faux positifs (signaler une action saine comme étant malveillante).

Attaques ciblées, furtives, zero-day

Également connues sous les termes “Advanced Persistent Threats” (APT) et “Advanced Targeted Attacks” (ATA), ces attaques sont une grande source d’inquiétude pour les entreprises. Des exemples récents ont mis l’accent sur les acteurs de la vente au détail, car ils entraînent une large couverture médiatique et mettent en avant des pertes financières directes. Ces exemples sont également intéressants car beaucoup d’attaques très sophistiquées n’ont pas été détectées par l’entreprise touchée elle-même, mais par les sociétés de cartes de crédit surveillant les activités frauduleuses.

D’autres attaques bien connues dans les milieux de la sécurité mais qui ne reçoivent pas autant d’attention de la part des médias incluent des attaques financées par un gouvernement. Certaines sont plus ou moins avérées (par exemple Stuxnet, Carbanak, Turla), tandis que d’autres font l’objet de fortes spéculations quant à leurs auteurs présumés (les attaques de la Chine contre des contractants de la défense américaine, Nortel, et d’autres cibles industrielles). D’ailleurs, l’espionnage industriel est un sujet de préoccupation important.

Alors que les entreprises du commerce aux particuliers sont souvent tenues de révéler les attaques dont elles ont été victimes, l’espionnage industriel, parrainé par les états recueille rarement une grande attention car il est très rarement reconnu par ses auteurs. Pourtant, les leçons de bon nombre de ces attaques sont claires - un malware avancé peut passer des jours, des semaines, des mois, voire des années au sein d’un environnement ciblé.

Des attaques plus classiques peuvent aussi y parvenir pour un certain nombre de raisons, dont des systèmes non patchés, une sécurité mal configurée ou mal appliquée, etc.

Dans tous ces cas, la plus grande crainte des entreprises est ce qu’elles ignorent.

[5]

Guides et solutions

4. Défis techniques Contexte vs. isolement

Les outils traditionnels de sécurité souffrent du dilemme du contexte vs. l’isolement. Des outils résidant sur le réseau (NIDS/NIPS/WAF) sont isolés des charges de travail protégées exécutées sur les endpoints. Si la sécurité d’un endpoint est compromise, l’outil de sécurité isolé n’est pas affecté. Cependant, ces outils manquent de contexte ; autrement dit, ils ne sont pas conscients de l’état des endpoints, en particulier celui de la mémoire.

À l’inverse, les outils de sécurité des endpoints traditionnels fonctionnant au sein d’un endpoint bénéficient d’une bonne connaissance du contexte, mais manquent d’isolement. Si un endpoint a été compromis par un code malveillant disposant de privilèges de niveau kernel, on ne peut pas compter sur la qualité de la détection proposée par des outils de sécurité qui disposent du même niveau de privilège.

Ce dilemme a créé un scénario de compromis qu’on pensait jusqu’alors impossible à résoudre ; le contexte ou l’isolement devait être sacrifié pour atteindre l’un ou l’autre. La virtualisation offre un moyen de résoudre ce dilemme : les hyperviseurs peuvent fournir un contexte riche alors qu’ils sont isolés des machines virtuelles qu’ils hébergent et des charges de travail au sein de celles-ci.

Niveau de privilège

La sécurité traditionnelle basée sur des agents repose sur un logiciel fonctionnant au sein de l’endpoint protégé. Comme les outils utilisés par les pirates sont passés d’un mode utilisateur (ring-3) à un mode kernel (ring-0), la sécurité a naturellement suivi cette tendance. Le problème est qu’au sein d’un endpoint protégé, il n’y a pas de niveau de permission supérieur à ring-0.

En conséquence, les outils de sécurité basés sur les agents ne peuvent pas garantir la détection d’une activité malveillante. Par exemple, les attaques ciblées ou avancées peuvent utiliser des rootkits sophistiqués pour camoufler leur activité.

La virtualisation introduit une couche de privilège plus élevé que ce qui est accessible habituellement au sein des endpoints protégés. L’hyperviseur fonctionne en effet sous une ou plusieurs instances de systèmes d’exploitation invités, essentiellement à un niveau ring-1.

5. La solution A travers une étroite collaboration, Bitdefender et Citrix ont résolu cette équation et offrent désormais aux propriétaires de datacenters la capacité de savoir ce qu’ils ignoraient auparavant et ainsi de prendre les décisions nécessaires à la lumière de ce nouveau niveau de compréhension.

Citrix XenServer inclut ainsi une API qui facilite l’introspection d’une machine virtuelle à partir d’une appliance virtuelle de sécurité. Bitdefender a développé la technologie Hypervisor-based Introspection (HVI) pour tirer parti de cette fonctionnalité d’introspection de la mémoire des machines virtuelles.

Citrix XenServer est le premier hyperviseur commercial intégrant cette capacité d’introspection de machine virtuelle. Bitdefender Hypervisor-based Introspection est la première solution à offrir cette nouvelle approche radicale pour la sécurité des endpoints.

Bénéficier de la visibilité fournie par l’hyperviseur permet de tirer pleinement profit de l’architecture des datacenters, apportée par la virtualisation. Ce niveau plus profond de compréhension est possible en se plaçant en dessous des endpoints virtualisés et les charges de travail qu’ils hébergent.

Relever les défis techniques

Bitdefender Hypervisor-based Introspection (HVI), par sa nature même, fonctionne à un niveau de privilège qui est plus élevé que celui disponible en mode invité. Alors qu’un rootkit présent sur une machine virtuelle peut fonctionner avec le niveau de privilège du kernel (ring-0), le même niveau utilisé par le logiciel de sécurité invité, HVI fonctionne au niveau de privilège de l’hyperviseur.

[6]

Guides et solutions

Figure 1. Aperçu de l’architecture de HVI

Comme on le voit sur ce schéma, HVI utilise une API depuis l’hyperviseur sous-jacent. Le moteur d’Introspection de la mémoire applique des règles de sécurité à la mémoire virtuelle de la machine tout en restant isolé des VM protégées.

Que l’endpoint protégé fonctionne sous Windows ou Linux, qu’il soit un serveur ou un poste de travail, HVI fournit un aperçu à un niveau inatteignable en mode invité. En effet, il réalise une introspection sous les systèmes d’exploitation invités, au niveau ring-1.

Tout comme l’hyperviseur contrôle l’accès au matériel pour le compte de chaque machine virtuelle invitée, HVI a une connaissance avancée de la mémoire à la fois en mode utilisateur et en mode kernel. Le résultat est que HVI a un aperçu global de la mémoire de l’OS invité et donc du contexte complet. En même temps, HVI est isolé des clients protégés, tout comme l’hyperviseur lui-même.

Résoudre le problème à la racine

Grâce à un accès à la mémoire du système invité depuis l’hyperviseur et dans le même temps d’un isolement par rapport aux risques de compromission de ce système invité, Bitdefender Hypervisor-based Introspection offre à l’administrateur un nouveau niveau de compréhension de ce qui était auparavant considéré comme impossible à savoir.

Alors qu’une attaque ciblée ou sophistiquée peut utiliser des outils uniques, développés sur-mesure et exploiter des vulnérabilités zero-day pour gagner un accès à un système et déjouer la sécurité de l’endpoint, HVI est capable de révéler ces attaques en tirant parti de l’évolution de la pile logicielle que la virtualisation a introduit.

HVI identifie des techniques d’attaque plutôt que des modèles d’attaque. De cette façon, cette technologie peut identifier, signaler et prévenir les techniques d’exploitation répandues. Le kernel est ainsi protégé contre les techniques de rootkit hooking utilisées au cours d’attaques afin d’assurer leur furtivité. Les processus en mode utilisateur sont également protégés contre l’injection de code, le détournement de fonction et l’exécution de code depuis la pile ou le tas.

SPEAR PHISHINGDRIVE-BY DOWNLOADCHEVAUX DE TROIE

ESPIONNAGE ET EXFILTRATION DE DONNÉESVOL D'IDENTITÉSABOTAGE

1.VECTEUR

D'NFECTION

5.CONTRÔLE À DISTANCE

DE LA VICTIMESTEALTHY AND PERSISTENT

FIGHTING APTs WITH HVMI

CVE2012-0158 APT28CVE2013-1347 ENERGETIC BEARCVE2014-0497 DARKHOTEL

INJECTION DE CODE (ENERGETIC BEAR,EPIC TURLA, REGIN, ZEUS)API HOOKING (DYREZA, GAMEOVER)

HVI EN MODE UTILISATEUR

HVI EN MODE KERNEL

Surveillance de l’hyperviseur avec un isolement appliqué directement au niveau de la couche hardware. Fournit des mécanismes de détection génériques

2.EXPLOIT

3.CHARGE UTILE

DE L’APPLICATION UTILISATEUR

4.CHARGE UTILE

DU KERNEL

KERNEL ROOTKITS (NECURS, TDL)BOOTKITS

Figure 2. Protection HVI appliquée à un exemple d’attaque

[7]

Guides et solutions

Ce 2ème schéma montre à quel endroit agit la protection HVI lors du processus d’attaque. Un pirate peut tenter d’exploiter une vulnérabilité à distance ou envoyer un e-mail malveillant spécialement conçu pour créer un vecteur d’infection ; lorsque l’exploit tente de s’exécuter, s’il repose sur une technique répandue comme un dépassement de mémoire tampon, HVI le détectera. Une fois qu’un exploit est exécuté, un pirate peut alors pousser une charge utile d’application afin d’augmenter ses privilèges système. Encore une fois, si des techniques telles que l’injection de code ou le hooking d’API sont utilisées, HVI les détectera. Ensuite, si un pirate tente de déployer un rootkit en mode kernel ou un bootkit afin de se camoufler de l’introspection en mode kernel, HVI le détectera car la solution fonctionne en dessous du système d’exploitation. Tous ces points de détection surviennent avant qu’un cybercriminel ne puisse atteindre son but ultime : commander et contrôler à distance un système compromis.

Alors qu’un mécanisme de sécurité invité peut détecter une tentative d’exploit ou une charge utile malveillante, l’approche est limitée puisque la sécurité et les activités malveillantes sont exécutées avec le même niveau de privilège que celui-ci. Par exemple, si un rootkit est déjà en place, il masque la présence de charges utiles malveillantes. Comme HVI fonctionne à un niveau de privilège plus élevé, il est impossible d’utiliser des techniques malveillantes en mode invité pour éviter la détection.

6. Conclusion L’API d’introspection de Citrix XenServer introduit une nouvelle approche de la sécurité des endpoints virtualisés et des charges de travail qu’ils hébergent. Bitdefender Hypervisor-based Introspection (HVI) est la première et actuellement la seule solution de sécurité à profiter de cette approche révolutionnaire.

La virtualisation a révolutionné les datacenters à mesure que les pirates faisaient rapidement évoluer leurs techniques pour tirer profit des lacunes de la sécurité traditionnelle des endpoints. En tirant parti du niveau de privilège de l’hyperviseur et d’un isolement appliqué directement au niveau de la couche hardware, HVI fournit des niveaux de connaissance auxquels il était impossible d’accéder auparavant.

En opérant à un niveau différent, HVI surmonte les défis techniques de la sécurité traditionnelle pour révéler des activités malveillantes, jusque-là invisibles dans votre datacenter. Réussir à dissimuler ces activités est ce sur quoi comptent les pirates pour que leurs attaques sophistiquées restent furtives.

L’approche utilisée par HVI n’est pas simplement une évolution dans la sécurité des endpoints, c’est véritablement une révolution.

Tous droits réservés. © 2016 Bitdefender. Toutes les marques, noms commerciaux et produits cités dans ce document sont la propriété exclusive de leurs détenteurs respectifs.Document non contractuel - 2016. Pour plus d’informations, veuillez consulter www.Bitdefender.fr

Bitdefender propose des technologies de sécurité dans plus de 100 pays via un réseau de partenaires de premier plan, de distributeurs et de revendeurs à valeur

ajoutée. Depuis 2001, Bitdefender produit régulièrement des technologies leaders du marché pour les entreprises et les particuliers et est l’un des plus grands

fournisseurs de solutions de sécurité pour les technologies de virtualisation et cloud. Bitdefender associe ses technologies primées à des alliances et des partenariats

commerciaux et renforce sa position sur le marché mondial via des alliances stratégiques avec des fournisseurs de technologies cloud et de virtualisation leaders

dans le monde.

Plus de 500 millions d’utilisateurssont protégés par les technologies Bitdefender