Téléchargez le rapport Endpoint Detection And Response, Q4 2021Forrester Research, Inc.
PRISM est une porte dérobée Linux open-source qui a fait parler d'elle récemment, après la découverte de plusieurs variantes par AT&T Alien Labs. Ces échantillons sont des versions modifiées du code PRISM original. Ces échantillons sont des versions modifiées du code original de PRISM. Il s'agit de portes dérobées assez simples, capables d'engendrer des reverse shells ou d'introduire des charges utiles supplémentaires.
Le fait intéressant à propos de ces échantillons est qu'ils sont restés complètement indétectés jusqu'à présent, certains depuis plus de 3 ans. La plupart de ces échantillons ont maintenant plus de 20 détections sur VirusTotal, mais il s'agit probablement de détections basées sur des signatures, car ils sont apparus juste après la publication de l'article d'Alien Labs.
—
HLAI est un module de détection de logiciels malveillants basé sur l'intelligence artificielle. Il travaille sur des fichiers exécutables (fichiers ELF pour Linux, et fichiers PE pour Windows), et donne, pour chaque échantillon, un "score de malveillance potentielle".
Ce module est déployé directement sur les points d'extrémité que HarfangLab équipe et ce score est calculé lorsque le fichier binaire est sur le point d'être exécuté. Ainsi, selon la configuration choisie de notre EDR, il est possible d'arrêter l'exécution du fichier si celui-ci présente un potentiel de malveillance important.
Les approches d'apprentissage automatique ont l'avantage d'être complémentaires aux approches plus classiques, basées sur les règles et les signatures. Là où ces dernières techniques sont plutôt spécifiques, les approches d'apprentissage automatique bénéficient d'une capacité de généralisation, leur permettant de détecter des menaces qu'elles n'ont jamais vues auparavant. En outre, HLAI a l'avantage d'être très léger et rapide tout en ayant une bonne performance de détection, ce qui lui permet de travailler hors ligne sur le point de terminaison et de bloquer les menaces immédiatement. HLAI n'a aucune dépendance, utilise moins d'un mégaoctet d'espace disque, 10 mégaoctets de RAM et effectue des prédictions en quelques millisecondes.
HLAI fonctionne en deux étapes. La première consiste à extraire et à calculer des caractéristiques pertinentes sur le fichier binaire donné, donnant ainsi une représentation numérique du fichier. La deuxième étape consiste à prendre cette représentation et à la soumettre à un modèle de classification, conçu pour discriminer les échantillons en fonction de leurs caractéristiques.
Le modèle est composé d'un ensemble d'arbres de décision, formés à l'aide de la technique de boosting de gradient.
—
Sur les 38 échantillons binaires identifiés par AT&T ALien Labs, HLAI en classe 34 comme des menaces CRITIQUES, sans les avoir jamais vus. C'est un bon exemple de la façon dont les approches d'apprentissage automatique peuvent briller lorsqu'elles sont confrontées à des menaces nouvelles, jamais vues.
Cependant, il reste encore 4 échantillons binaires malveillants. Afin de détecter ces échantillons, il y a plusieurs axes de travail :
1) Enrichir notre jeu de données d'entraînement.
Nous avons déjà amélioré les performances de détection en fournissant à notre modèle des binaires plus diversifiés, notamment en ce qui concerne les goodwares.
2) Effectuer une analyse résiduelle.
En utilisant des outils spécifiques d'apprentissage automatique, nous évaluons l'importance de chaque caractéristique dans la prédiction. Dans le cas d'une prédiction erronée, c'est-à-dire lorsqu'un logiciel malveillant est prédit comme ayant un faible score de malveillance, nous pouvons espérer déterminer où se trouve l'information trompeuse et créer de nouvelles caractéristiques.
Découvrez HarfangLab EDR sous différents angles
