Une journée dans la vie d'un traqueur de menaces chez Avast

David Fišer 31 oct. 2017

Découvrez les coulisses du laboratoire des menaces d'Avast et ses analystes hautement qualifiés qui luttent quotidiennement contre la cybercriminalité.

Avec plus de 400 millions d'utilisateurs, Avast utilise son intelligence artificielle et son apprentissage automatique pour protéger ses clients dans le monde entier.

Nous prévenons plus de 3,5 milliards d'attaques de logiciels malveillants chaque mois. Notre cloud de sécurité vérifie plus de 200 milliards d'URLs et 300 millions de nouveaux fichiers chaque mois. 

Au fur et à mesure que les logiciels malveillants évoluent, notre équipe du laboratoire des menaces ajoute continuellement plus de protection en détectant continuellement les menaces et en mettant à jour les logiciels de nos utilisateurs afin de les devancer des cybercriminels. 

Mais ce n'est pas tout concernant le big data et l'automatisation. 

Une équipe hautement qualifiée travaille en coulisses pour ajouter l'élément humain à la lutte contre la cybercriminalité. 

Parcourez les coulisses d'une journée d'un analyste des laboratoires de la menace.


8h06

Tout le monde est au bureau. La lumière du matin est ponctuée par le tic-tac de chiffres et de lignes multicolores affichés sur notre mur d'écrans. Les statistiques mondiales des tendances, des menaces et autres activités nous rappellent que le paysage des menaces évolue constamment.

J'ai du café, je suis prêt.

09h09

Je m'écarte des vérifications de routine et de l'analyse dès que l'un de nos systèmes automatisés a trouvé une menace potentielle dans une tendance anormale qui a commencé il y a deux jours. 

Nos analystes sont alertés de la découverte et recherchent un cas spécifique dans notre CyberCapture, notre Agent actions suspectes, et dans des bases de données heuristiques concernant la tendace pour voir ce qui se cache derrière, si c'est malveillant et, si oui, s'assurez que nos utilisateurs sont bien protégés.

Laboratoire des menaces Avast

Notre méthode est simple mais stimulante : repérez, analysez, déterminez comment la protéger, puis l'intégrez dans notre solution de sécurité. De nouvelles découvertes comme celle-ci sont la partie la plus importante du processus.

De nombreuses menaces mineures sont traitées par nos systèmes d'intelligence artificielle et de Big Data, mais cette tendance est prononcée et l'équipe entame alors une enquête manuelle. 

Nous retirons du code de l'activité et commençons à rechercher des URLs ou des signatures potentiellement malveillantes dans le binaire.

Il peut s'agir d'une fausse alerte, ou du moins d'une alarme que nous pouvons utiliser avec des systèmes automatisés.

09h19

Certaines menaces (logiciels malveillants, virus, etc.) se répètent dans l'espace utilisateur. Je veux vérifier si c'est quelque chose que nous avons déjà vu auparavant.

Nous pouvons observer le code malveillant encore et encore, mais il peut revenir sous d'autres formes. Pour trouver le formulaire originel, nous devons passer par plusieurs couches. C'est ce que je commence à faire.

Il y a parfois de la routine, mais aucune journée ne se ressemble. J'analyse toujours différentes choses et réalise différentes actions.

Ecran du laboratoire des menaces Avast

09h47

En regardant le logiciel de détection binaire, et en cours d'exécution, nous trouvons quelque chose de familier dans ce code. C'est un vieux favori avec une nouvelle torsion.

Amener les gens à cliquer sur un lien malveillant est une tactique qui remonte à plus d'une décennie. Et même si nous, en tant qu'êtres humains, sommes prudents, voire avertis, certaines personnes font simplement ce qu'on leur demande lorsqu'un email arrive et leur dit : « cliquez sur le lien », « décompressez ce fichier zip » et ainsi de suite.

Il semble que l'escroquerie en question consiste à se faire passer pour une entreprise légitime avec laquelle une entreprise travaille, et à lui envoyer une facture ... seulement ce n'est pas une facture, c'est un logiciel malveillant.

Au départ, cela ressemblait à du simple hameçonnage ou phishing - en essayant d'amener à mettre des coordonnées dans un formulaire Web malveillant - mais il s'agit en fait d'un lien vers un logiciel qui infectera votre machine et toutes celles liées.

10h12

Le problème avec toutes ces menaces malveillantes est qu'elles proviennent d'un code commun. Elles sont comme des zombies... elles ne cessent de muter et de revenir. Nos utilisateurs sont protégés si la menace semble la même, c'est quand elles reviennent d'une manière légèrement différente que nous devons agir rapidement pour les protéger et s'assurez que leur antivirus est à jour.

10h30

Je travaille sur la plateforme Windows, et me concentre plus particulièrement sur les binaires Windows. Nous avons également des équipes dans le laboratoire qui se concentrent sur les scripts Java malveillants et Android - mais cela ne semble pas nécessité leur aide. J'analyse le script pour savoir comment il déploie le code malveillant dans les machines.

Je suis sur le point de trouver le code sur lequel cette menace est basée - je peux alors écrire un mécanisme de signature / détection pour le combattre et le déployer directement sur le logiciel de nos utilisateurs.

11h21

Je parle avec une collègue au sujet d'une arnaque qui a été découverte hier et sur ce qui s'est passé. Elle me dit que nous avons été en mesure d'arrêter une attaque de phishing ciblant les clients d'une grande banque. Ils utilisent l'authentification à deux facteurs sur tous leurs appareils, au sein et à l'extérieur du bureau - ce qui est assez standard ces jours-ci.

Mais les pirates ont créé une application pour capturer les informations de connexion. Ils ont trompé les utilisateurs pour télécharger l'application sur leur téléphone Android. L'application lit alors les messages qui incluent des codes de confirmation pour se connecter.

Nous avons réussi à attraper la menace juste à temps - en recommandant à tous ceux qui ont l'application malveillante de la retirer immédiatement via leur logiciel Avast Antivirus. L'attaque aurait coûté des millions à l'entreprise - peut-être même des milliards.

Nous nous sommes sentis fiers.

11h34

La menace d'aujourd'hui s'avère difficile. Nous savons déjà qu'elle est de nature malveillante, mais nous pouvons aller plus loin et obtenir le fichier de configuration caché, qui est présent sous forme cryptée quelque part dans le binaire. Le fichier de configuration contient souvent d'autres informations telles que les URLs d'autres serveurs ou scripts malveillants.

Je débogue le code d'assemblage, cependant, je n'ai pas encore trouvé le spot. J'écris un script et lance un diagnostic.

11h56

J'attends un diagnostic pour livrer ses résultats, je travaille sur un autre projet pendant ce temps.

J'ai travaillé précédemment sur la façon de détecter certaines menaces, ce qui nous a permi de concevoir un nouveau système pour le faire. Je travaille actuellement sur une règle (code) qui nous aidera grandement. 

Nous aimons tous ce défi de rendre nos systèmes plus rapides et de créer des moyens d'optimiser notre travail.

Midi

Le déjeuner ! Je suis dans la cuisine et j'attends que le grille-pain fasse cuire mon panini. Je parle au gars à côté de moi au sujet de la cyberattaque WannaCry du mois de mai dernier.

Nous pouvions voir à partir de certains indicateurs que quelque chose se passait avant que les nouvelles ne se fassent sentir. Nous avons vu la menace se propager et grandir, nous avons alors commencé à l'analyser. L'Agent actions suspects (technologie qui observe le comportement directement dans l'ordinateur) signifie que nous avons été en mesure d'arrêter WannaCry affectant nos clients avant même qu'il ne soit annoncé publiquement.

Une autre victoire pour notre antivirus !

12h37

Le nouveau type, Honza, mange son déjeuner pendant que je me lave les mains. Il me demande comment je suis rentré dans le métier. 

"Vous devez être au bon endroit au bon moment", je souris.

En fait, j'ai commencé à coder au lycée. J'adorai les programmes «crackme» - des programmes conçus pour tester les compétences en ingénierie inverse d'un programmeur.

"Quelques années après avoir quitté l'école, un de mes amis a commencé à travailler chez Avast quand une opportunié est apparue. Il savait que j'avais résolu certains programmes de crackme dans le passé - je savais donc comment la protection des logiciels fonctionne - et j'ai décidé de postuler. "

Trève de bavardage. Retournons au travail !

Laboratoire des menaces

13h14

Le diagnostic a enfin montré quelques résultats. Je sens que je suis proche. C'est la partie la plus difficile. J'analyse un échantillon du code - en essayant d'inverser l'algorithme pour voir quelle est la configuration spécifique du fichier. Je veux voir si je peux même trouver une URL dans le code que nous devrions bloquer pour protéger les utilisateurs qui ouvrent la pièce jointe.

Pendant ma recherche manuelle, un logiciel interne s'exécute. J'analyse le code, en essayant de le désosser, en utilisant un débogueur appelé OllyDbg [logiciel Olly Debugger]. Je pourrais aussi être amené à utiliser IDA Pro (un désassembleur interactif).

Je sais ce que je cherche. Je tourne autour, mais je ne le trouve pas. En faisant cela, c'est toujours un défi de ne pas faire d'erreurs qui pourraient ruiner le travail déjà réalisé.

Il ne peut pas se cacher pour toujours, je dois juste trouver où il se trouve.

14h38

Cela va prendre du temps. Le code est très complexe - et c'est là tout la difficulté : le temps nécessaire pour comprendre le code source du message.

Beaucoup de gens peuvent coder dans un langage comme C# qui est compilé en code octet. Ce code peut facilement être analysé par des outils que vous pouvez télécharger sur le Web et vous pouvez voir le code entier à un niveau très précis - presque le même que celui qui a été écrit par l'auteur.

Il y a généralement une obfuscation - cacher le code dans le code - mais après avoir renommé les classes, les variables et quelques autres vérifications, vous pouvez généralement revenir au code de texte brut.

Mais celui-ci n'est pas écrit en C# il est écrit en C++ et utilise beaucoup de classes, ce qui le rend plus difficile à désosser. Je dois prendre mon temps et être prudent - réaliser le débogage instruction par instruction.

16h10

Le voilà ! En travaillant avec mon collègue, nous découvrons la routine de décryptage profondément inscrite dans le code binaire. J'avais pourtant l'intuition que nous ne le trouverions pas aujourd'hui. Cependant, nous nous sommes concentrés sur le suivi de la mémoire et bien sûr il est apparu !

La menace était similaire à celle que nous avons attrapée plus tôt dans l'année. Quelqu'un l'utilisait clairement comme base pour ce déploiement de logiciels malveillants, mais ils avaient enterré sa source et son identité dans un codage important - y compris quelque chose qui le déguisait pour paraître plus légitime.

16h15

L'étape suivante consiste à mettre rapidement en place des alertes et une protection pour nos clients. Nous choisissons toujours les méthodes de détection appropriées au cas, après quoi elles peuvent être livrées aux utilisateurs. Du code peut être créé et déployé automatiquement mais celui-ci aura besoin de moi et de l'équipe pour écrire une définition sur mesure (code et données).

16h50

Nous avons introduit de nouvelles définitions dans notre back-end, le logiciel effectue plusieurs tests pour éviter les faux positifs, avant de les envoyer à toutes les machines de nos utilisateurs.

17h07

Les définitions peuvent maintenant être déployées en diffusant des mises à jour qui sont livrées très rapidement - en ne prenant que quelques minutes, après quoi nous pouvons signaler les binaires malveillants. Nous avons également changé du code, cependant, ces changements doivent être correctement testés et sont livrés en mettant à jour l'ensemble du VPS (serveur privé virtuel) et cela prend plus de temps.

Nous n'avons toujours pas eu de drapeaux de clients ayant ouvert le fichier et l'ayant déployé, nous pourrions donc être en mesure de résoudre ce cas sans « infections ». Il est toujours triste d'entendre parler de quelqu'un qui a été victime d'une fraude, simplement parce qu'il a cliqué sur un lien.

J'adore voir que mon travail a eu du succès et a arrêté un code malveillant. Certaines personnes peuvent penser que mon travail est ennuyeux - assis, fixant un écran toute la journée - mais quand je trouve une menace et que personne d'autre ne l'obtient, c'est le meilleur sentiment au monde !

18h

Retour à la maison ! Aujourd'hui était une bonne journée, il est rare que nous traitions quelque chose en une seule journée. Nous ne savons jamais de quoi demain sera fait.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille.Pour toutes les dernières actualités, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.

--> -->