Désormais, les fournisseurs de sécurité pourront exploiter les dernières capacités de télémétrie et de traitement ML intégrées dans les processeurs mobiles de 11e génération d’Intel pour mieux détecter et bloquer les ransomwares qui parviennent à échapper aux techniques de détection traditionnelles. Ces fonctionnalités sont intégrées aux processeurs Intel Core destinés aux PC d’entreprise et incluant le set de fonctionnalités vPro. Outre les capacités de gestion IT, la plateforme vPro offre diverses fonctions de sécurité améliorées au niveau matériel, qu’Intel commercialise sous le nom de technologie Hardware Shield. La technologie d’exécution fiable d’Intel, la virtualisation, le chiffrement de la mémoire, la résilience du runtime BIOS (Intel Runtime BIOS Resilience) et la technologie de détection des menaces (Intel Threat Detection Technology, TDT) font partie de ces différentes capacités.
Fonctionnement de la technologie Intel TDT
Pour détecter les menaces potentielles, Intel TDT se sert des données de télémétrie de l'unité de surveillance des performances (Performance Management Unit, PMU) du CPU, et les combine à des heuristiques pour l’apprentissage machine accéléré. En raison du type de tâches qu'ils exécutent, certains types de programmes malveillants ont un impact sur les performances du CPU. Les ransomwares entrent clairement dans cette catégorie du fait de leurs routines intensives de chiffrement des fichiers, tout comme les cryptomineurs, ces programmes malveillants qui détournent le CPU ou le GPU des machines pour faire du minage de cryptomonnaie. Les données de télémétrie du PMU rendent visibles l'impact sur les performances et les modèles de machine learning peuvent les traiter pour identifier des comportements potentiellement suspects ou anormaux pouvant révéler la présence de logiciels malveillants. Les produits de sécurité exécutés à l'intérieur du système d'exploitation peuvent utiliser les signaux d'Intel TDT pour déclencher d'autres processus d'analyse et de remédiation des workflows.
En bref, on peut comparer ces fonctions à de la détection de malwares basée sur le comportement, sauf qu’elles se situent au niveau du CPU. « Généralement, les défenses classiques renforcent surtout la sécurité en s’appuyant sur des méthodes comme l'anti-phishing, les sauvegardes ou d'autres solutions proactives. Ce sont de bonnes pratiques, mais certaines attaques ne parviennent pas à être détectées », a expliqué Michael Nordquist, directeur principal de la planification stratégique et de l'architecture, Business Client Group d'Intel. « La détection au niveau du CPU par Intel TDT permet de détecter les souches de ransomwares les plus courantes dès le début du chiffrement des fichiers et elle peut immédiatement signaler aux logiciels AV/EDR (Anti-virus/Endpoint Detection Response) de remédier à l'attaque. La fonction peut être très utile, non seulement pour limiter les dommages sur le point d'extrémité infecté, mais aussi pour empêcher les dommages latéraux sur d'autres points d'extrémité ou le déplacement de l’attaque à travers les réseaux ou vers des applications SaaS ou basées sur le cloud ».
Comment les ransomwares échappent à la détection traditionnelle
Détecter les ransomwares n'a jamais été une tâche facile, et les attaquants ont toujours trouvé des moyens d'échapper aux produits de sécurité. Les gangs de cybercriminels qui passent des mois à faire de la reconnaissance et du déplacement latéral à l'intérieur des réseaux d'entreprise savent très bien quels logiciels de détection de malwares utilisent leurs victimes. En conséquence, ils procèdent souvent à des tests préliminaires pour s'assurer que leur charge utile ne sera pas détectée. C'est en partie pour cette raison que les campagnes de ransomwares sont si efficaces et ont un impact si dévastateur pour les entreprises. Outre la détection basée sur les signatures, les produits de sécurité essayent de détecter des comportements propres aux ransomwares en surveillant des modèles inhabituels d'activité des fichiers. Par exemple, la lecture et l'écriture d'un grand nombre de fichiers en rafale dans certains répertoires ou avec certains types de fichiers peuvent indiquer une activité suspecte. Des différences significatives dans le contenu des fichiers écrasés sont un autre indicateur, car un fichier crypté aura un aspect totalement différent du fichier original. Les tentatives de suppression des sauvegardes du Volume Shadow Copy Service (VSS) peuvent également indiquer la présence d'un ransomware. Tous ces signaux réunis sont utiles pour détecter un ransomware, mais les attaquants peuvent quand même essayer de masquer leur activité, en exécutant par exemple le cryptage des fichiers par lots pour le ralentir.
Certains groupes de ransomwares sont même allés plus loin. C’est le cas notamment des créateurs de Ragnar Locker et de Maze qui ont commencé à exploiter la technologie de virtualisation pour cacher leurs processus malveillants en mémoire. Pour cela, ils ont déployé Oracle VirtualBox sur les ordinateurs des victimes, mis en place des machines virtuelles Windows légères et leur ont donné accès à l'intégralité du disque dur du système d'exploitation hôte, pour finalement exécuter leur logiciel de rançon à l'intérieur de la machine virtuelle, un espace généralement peu ou pas scruté par les antivirus. « Le plus souvent, les VM sont utilisées pour cacher la mémoire, de sorte que le logiciel de sécurité ne peut pas analyser la mémoire du ransomware, mais ce dernier doit quand même interagir avec le système de fichiers et exécuter le même type d'instructions pour effectuer le chiffrement », a expliqué Yonatan Striem-Amit, directeur technique du fournisseur de sécurité Cybereason. (Cybereason a déjà intégré les récentes capacités de détection de ransomwares d’Intel TDT). « Les signaux de comportement et les indicateurs de performance d'Intel sont capables de voir à travers ce voile et de le manipuler, que l’on soit ou non capable de lire la mémoire du processus. Pour l’instant, la mémoire de processus est un indicateur moins critique, si bien que la dissimulation de l’activité via les technologies VM devient beaucoup moins efficace », a-t-il ajouté.
Intel TDT décharge le ML sur le GPU
La plupart des CPU modernes sont équipés d'un GPU intégré capable de lire la mémoire vive de l'ordinateur grâce à une fonction dite d’accès direct à la mémoire (Direct Memory Access, DMA). Les GPU peuvent ainsi effectuer leurs tâches de traitement plus rapidement et partager la mémoire vive avec le système d'exploitation hôte. Intel TDT tire parti de cette fonction pour accélérer les modèles d'apprentissage machine à forte intensité de calcul, qu'il utilise pour la détection, en les exécutant sur l'unité graphique Intel Iris Xe intégrée, libérant ainsi le CPU pour d'autres tâches. « Désormais, les signaux existants envoyés par le système d'exploitation, la surveillance du comportement des applications, les indicateurs de performance au niveau du CPU et la capacité de construire et d’exécuter des modèles d'apprentissage machines plus complexes en ligne, toutes ces fonctions mises en commun permettent de repérer les ransomwares avec une précision jamais atteinte jusque-là », a déclaré Yonatan Striem-Amit. « Grâce à cette évolution de la technologie, nous pouvons combiner la visibilité au niveau du système d'exploitation avec les compteurs de performance au niveau du processeur pour savoir s'il y a une activité de type ransomware ». La technologie Intel TDT existe depuis 2018 et certaines de ses capacités ont déjà été adoptées par d'autres solutions de sécurité comme Microsoft Defender, SentinelOne Singularity et Blackberry Optics. Les améliorations apportées aux processeurs de 11e génération compatibles Intel vPro ont été conçues spécifiquement pour détecter les ransomwares. Cette menace, qui s’est largement développée ces dernières années, a eu de graves répercussions sur les entreprises du monde entier.