Sophos décode l'ADN des logiciels malveillants sans fichier et introduit une nouvelle technologie de protection. Dynamic Shellcode Protection détecte les logiciels malveillants exécutés dans le stockage temporaire, tels que les ransomwares ou les agents d'accès à distance, bloquant une technique de piratage populaire pour contourner les programmes de protection.
Sophos présente sa nouvelle protection contre les cyberattaques, dans laquelle les logiciels malveillants se chargent sans fichiers dans la mémoire temporaire de l'ordinateur affecté. Dynamic Shellcode Protection est intégré à Sophos Intercept X et peut empêcher le code d'attaque de s'imbriquer dans la région de tas dynamique de la mémoire.
Mémoire : cachette populaire pour les logiciels malveillants
La zone mémoire d'un ordinateur piraté est une cachette populaire pour les logiciels malveillants, car les analyses de sécurité ne couvrent généralement pas la mémoire. Par conséquent, le logiciel malveillant est moins susceptible d'être détecté et bloqué. Les types de logiciels malveillants qui tentent de s'activer de cette manière incluent les rançongiciels et les agents d'accès à distance. Ces derniers constituent souvent la base d'une attaque imminente, plus tôt ils sont découverts et bloqués, mieux c'est. Avec Dynamic Shellcode Protection, les chercheurs de Sophos ont maintenant trouvé un moyen de se défendre contre ces malwares sans fichier en fonction de leur comportement. Le nœud du problème est la découverte que ces codes d'attaque particuliers présentent un comportement commun en mémoire, quel que soit le type de code spécifique ou son objectif. Dans le billet de blog "Covert Code Faces a Heap of Trouble in Memory", les chercheurs de Sophos décrivent leur découverte en détail.
Fonctionnement de Sophos Dynamic Shellcode Protection
Le code des applications avec des privilèges d'exécution est généralement chargé en mémoire. De plus, les applications nécessitent généralement un espace de travail temporaire supplémentaire en mémoire, par exemple pour décompresser ou stocker des données. Cet espace de travail variable est appelé mémoire "heap". Dans la plupart des cyberattaques, le chargeur d'un agent d'accès à distance est injecté directement dans le tas. Cela doit extraire plus de mémoire exécutable du tas pour répondre aux besoins de l'agent d'accès à distance. Ceci est appelé comportement d'allocation de mémoire "heap-heap". Les spécialistes de la sécurité de Sophos ont identifié un tel comportement comme un indicateur clair d'activité potentiellement suspecte et ont développé Dynamic Shellcode Protection, une protection qui bloque les autorisations d'exécution d'un tas de mémoire à un autre.
Les logiciels malveillants en mémoire passent souvent inaperçus
"Le code malveillant essaie toujours d'échapper à la détection, par exemple en étant masqué et empaqueté directement dans la mémoire. Un tel code n'est souvent pas reconnu par les outils de sécurité, même lorsqu'il est extrait. Les chercheurs en criminalistique et en sécurité de Sophos ont reconnu que les allocations de mémoire tas à tas sont une action très typique des agents d'accès à distance à plusieurs étapes et d'autres codes d'attaque », a déclaré Mark Loman, directeur de l'ingénierie chez Sophos. "L'objectif principal est d'empêcher les attaquants de compromettre des ordinateurs individuels ou un réseau entier. C'est pourquoi les logiciels malveillants doivent être détectés très tôt afin d'empêcher, par exemple, l'accès aux informations d'identification, l'escalade des droits, les mouvements latéraux dans le réseau ou la collecte, le partage et le siphonnage d'informations. Avec Dynamic Shellcode Protection, nous sommes désormais en mesure de répondre précisément à ces exigences encore plus efficacement.
En savoir plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.