FEP 2010 et moteur Anti-malware de Microsoft “Malware Protection”
La solution FEP 2010 est une solution de protection contre les logiciels malveillants, dont la console de gestion s’intègre nativement dans une infrastructure SCCM 2007 existante. En effet, FEP 2010 ne nécessite pas de déployer des serveurs supplémentaires, mais s’intègre nativement dans la solution de gestion des postes de travail SCCM 2007.
Le moteur anti-malware, dont le nom est Malware Protection, couvre à la fois les virus, chevaux de Troie, spywares ainsi que les rootkits.
Les technologies de protection sont multiples : Analyse à base de signature, détection comportementale et protection contre les exploits réseaux.
Lorsqu’un malware est détecté, plusieurs actions sont disponibles (conformément à la politique définie par l’administrateur FEP 2010) : nettoyage du système (avec ou sans redémarrage nécessaire), mise en quarantaine, suppression du fichier.
A noter que le laboratoire Microsoft MMPC (Microsoft Malware Protection Center) publie en moyenne une mise à jour des signatures trois fois par jour. Le moteur reçoit une mise à jour mensuelle applicable sans avoir à redémarrer l’ordinateur.
Le document « Understanding Anti-Malware Research and Response at Microsoft » est une introduction à la technologie anti-malware et l’organisation du laboratoire MMPC :
https://download.microsoft.com/download/0/c/0/0c040c8f-2109-4760-a750-96443fd14ef2/Understanding%20Malware%20Research%20and%20Response%20at%20Microsoft.pdf
Analyse de forme statique et émulation
D’après Éric Filiol : L’analyse de forme consiste à analyser un code hors de tout contexte d’exécution. Il s’agit de rechercher des structures d’octets correspondant à une signature de code malveillant connu ou générique (famille de code malveillant).
Généralement, les créateurs de virus cherchent à échapper à l’analyse de forme et de ce fait ajoute une couche de protection (obfuscation, chiffrement, compression) qui disparait à l’exécution.
C’est pourquoi, le moteur Malware Protection dispose d’une fine machine virtuelle (Dynamic Translation) émulant l’API Win32. Ainsi, le binaire à analyser est exécuté dans une machine virtuelle afin de supprimer les éventuelles couches de protection, rendant ainsi de nouveau opérationnelle l’analyse de forme. De plus, et de façon plus traditionnelle, le moteur Malware Protection prend en charge de nombreux formats de compression ainsi qu’un large éventail de « packers ».
Enfin, lors des analyses du système, le moteur prend en charge l’analyse directe du système de fichiers permettant l'identification et la suppression des programmes malveillants qui seraient autrement cachés par un rootkit qui détournerait le fonctionnement de certaines API liés au système de fichiers.
Détection comportementale (Protection dynamique)
D’après Éric Filiol : La détection comportementale consiste à déterminer, au moment où le code est exécuté – par émulation de code ou à l’accès – si certains comportements s’apparentent à du logiciel malveillant ou non.
Pour cela, le moteur Malware Protection utilise des signatures heuristiques pour rechercher les signes d'un comportement suspect, matérialisés par un ensemble de caractéristiques imputables à des logiciels malveillants connus. Ces signatures heuristiques sont utilisées avant que le binaire ne s’exécute sur le système lors de la phase d’émulation de code qui s'appuie sur la technologie de traduction dynamique de Microsoft.
Le moteur Malware Protection définit un point d’ancrage sur le navigateur Internet Explorer afin d’être à même d’analyser et de bloquer l’exécution de script malveillant. Pour ce faire, le contenu de la mémoire est analysé avant qu’un traitement soit effectué par le navigateur Internet Explorer.
Après le démarrage d'un processus, le moteur anti-malware surveille les appels système portant sur les fichiers, base de registre, réseau et le noyau afin d’identifier un comportement suspect. Un comportement douteux déclenche alors une requête vers le service de signature dynamique pour savoir si le programme doit être bloqué ou soumis pour analyse. Cette protection porte également sur les fichiers de contenu (pdf,docx..)
Concernant le système d’exploitation, le comportement du noyau est supervisé en temps-réel. La technologie acquise en 2008 à la société Komoku Inc. (https://www.microsoft.com/security/portal/komoku/) a été complètement intégrée au moteur Malware Protection qui surveille maintenant l'intégrité des structures du noyau. Cette brique technologique est fondamentalement un KIDS (Kernel Intrusion Detection System) Si le noyau semble avoir été compromis alors des demandes de télémétrie et de mise à jour sont envoyées au service signature dynamique.
HIPS (Host-Based Intrusion Prevention System)
D’après Thierry Evangelista : Un HIPS est un agent logiciel que l’on installe sur l’hôte à protéger et qui analyse en temps réel les flux relatifs à cette machine.
Microsoft Research a développé la technologie NIS (Network Inspection System - https://research.microsoft.com/apps/pubs/default.aspx?id=70223) qui est intégrée dans FEP 2010.
Un HIDS possède un avantage considérable sur un pare-feu de segment réseau, en ce qui concerne les flux chiffrés. En effet, l’agent NIS étant installé à l’extrémité de la chaine de communication, il est alors possible d’analyser le flux en clair.
NIS est un HIPS basé sur la détection de formes, disposant d’un moteur et de signatures régulièrement mises à jour. NIS permet de se protéger contre les flux réseaux cherchant à exploiter les vulnérabilités des produits Microsoft dont les correctifs ne seraient pas déployés. Lorsque le correctif est appliqué, alors les signatures sont déchargées du moteur NIS. Si le correctif est désinstallé, alors les signatures en relation sont de nouveaux actives. La protection de NIS porte sur les flux entrants et sortants.