Ransomware : des chercheurs veulent intégrer une protection directement dans le système de fichiers

Les mesures de prévention, comme les sauvegardes, et de réaction, comme mécanismes de détection de comportements malicieux, n’offrent qu’une réponse partiellement satisfaisante aux attaques de ransomware. C’est l’analyse initiale de sept chercheurs de l’université polytechnique de Milan.

Les victimes du vrai-faux rançongiciel NotPetya/ExPetr/Nyetya/EternalPetya ne sauraient les contredire. Leurs plans de reprise d’activité (PRA) sont, encore pour certains, mis à rude épreuve. FedEx ne s’attend pas ainsi à ce que sa filiale TNT parvienne à restaurer pleinement tous les systèmes affectés et à recouvrer toutes les données métiers critiques chiffrées par le logiciel malveillant. L’impact financier de l’attaque reste à chiffrer précisément, mais le transporteur s’attend à ce qu’il soit significatif. Le groupe Saint Gobain estime de son côté à 250 M€ l’impact de l’épisode sur son chiffre d’affaires 2017, et de 80 M€ sur son résultat d’exploitation.

Le fléau des ransomware semble appelé à s’inscrire dans la durée. Alors certains acteurs commencent à miser sur une approche duale : d’un côté, il s’agit de détecter les comportements suspects pour y mettre un terme le plus vite possible ; de l’autre, il s’agit de s’appuyer sur de rapide micro-sauvegardes, des instantanés ou snapshots, pour permettre la récupération rapide des fichiers éventuellement chiffrés avant l’interception du processus malveillant.

SentinelOne s’est rapidement engagé dans cette direction, dès la fin 2015, allant jusqu’à proposer une garantie contractuelle. Sophos a adopté la même approche avec Intercept X, ainsi que Carvir Cyber Security, ou encore Kaspersky. Check Point Software a présenté sa solution en la matière au mois de février. Et Acronis a intégré des mécanismes de protection comparables à la dernière version de son outil de sauvegarde True Image.

Mais les chercheurs de l’université polytechnique de Milan veulent aller plus loin. Avec ShieldFS, présenté la semaine dernière à l’occasion de la conférence Black Hat qui se déroulait à Las Vegas, ils veulent se rapprocher au plus près de là où sévissent les crypto-malwares, le système de fichiers, et en particulier celui de Windows.

ShieldFS est « un pilote à déposer qui immunise le système de fichiers natif de Windows contre les attaques par rançongiciel », expliquent-ils. Celui-ci active « une couche de protection qui agit comme un mécanisme de copie-sur-écriture à chaque fois que le composant de détection révèle une activité suspecte ». Une couche d’abstraction, en fait, qui s’interpose entre l’application et le fichier réel, pour en produire une copie à la volée lorsque c’est nécessaire, puis assurer une restauration tout aussi immédiate.

Le composant de détection s’appuie sur plusieurs modèles comportementaux, développés par apprentissage automatique, et sollicités de manière adaptative. Ils ont été établis à partir du suivi de l’activité sur le système de fichiers « de plus de 2 245 applications ». Mais ce n’est pas tout : il surveille aussi la mémoire vive à la recherche d’indicateurs d’activités de chiffrement.

Le composant de détection de ShieldFS a été testé sur près de 1 500 échantillons fournis par Trend Micro et Virus Total, avec un taux de réussite de 96,9 %. Ce qui implique donc des faux négatifs. Mais le taux de protection des fichiers s’est toujours élevé à 100 % : les échantillons passés au travers des mailles du filet n’ont pas eu l’opportunité de faire de dégâts.

Bien sûr, cette approche ne va pas sans ralentir la machine. Les chercheurs estiment le ralentissement perçu à un facteur 0,26. ShieldFS n’est pas actuellement disponible. Certains éléments de l'approche font l’objet d’une demande de brevet outre-Atlantique.