Les solutions EDR peuvent-elles détecter les ransomwares ?

Nous avons voulu mener une petite expérience de validation de concept avec des solutions EDR modernes et quelques échantillons de ransomwares.

À des fins de test et d’automatisation, nous avons trouvé utile d’utiliser rThreat, un cadre de simulation de brèches et d’attaques. Celui-ci nous a fourni une collection d’échantillons de ransomwares allant d’échantillons connus à moins connus.

Quatre EDR ont été choisis et configurés en se basant sur les configurations standard suggérées par l’industrie. Les agents ont été installés dans une machine Windows 10 à jour. Des échantillons ont été exécutés et le résultat a été évalué par rThreat, qui vérifiait si le fichier s’était exécuté, pendant combien de temps, et s’il avait été stoppé.

Nos résultats pour les 23 échantillons ont permis d’observer les différentes approches des EDR. Ceux-ci n’agissent pas de la même manière et n’ont pas les mêmes bases de données de signatures. Il est nécessaire de préciser qu’il est difficile de comparer les solutions EDR car de nombreux facteurs entrent en jeu et de nombreuses options de configuration sont possibles.

Rétrospectivement, nous reconnaissons également que tous les tests auraient dû être effectués simultanément, au cas où il y aurait eu un partage de signature entre les différentes solutions. Il faut également noter que les tests ont été effectués sur deux jours.

EDR 1

18/23 échantillons n’ont pas réussi à s’exécuter.

5/23 échantillons se sont exécutés pendant plus de 10 secondes, 3 étant des échantillons peu connus, 2 ont été arrêtés.

3/23 échantillons se sont exécutés avec succès et ont chiffré des fichiers, 2 échantillons peu connus et 1 connu.

Nous pouvons voir que 18 échantillons ont été détectés par l’analyse statique et que 5 n’ont pas été détectés. Sur les 5 échantillons qui ont pu s’exécuter, 2 ont été arrêtés par l’analyse comportementale et 3 ont pu s’exécuter avec succès.

EDR 2

18/23 échantillons n’ont pas réussi à s’exécuter.

5/23 échantillons se sont exécutés pendant plus de 10 secondes (tous différents de l’EDR 1), tous connus, tous arrêtés par l’analyse comportementale.

Nous pouvons voir que 18 échantillons ont été détectés par l’analyse statique et que 5 ont été manqués mais détectés par l’analyse comportementale.

EDR 3

22/23 échantillons n’ont pas réussi à s’exécuter.

1/23 échantillons a fonctionné pendant plus de 10 secondes, un échantillon peu connu, qui a été arrêté.

Nous pouvons constater que 22 échantillons ont été détectés par l’analyse statique et que celui qui s’est executé a été détecté par l’analyse comportementale.

EDR 4

23/23 se sont exécutés pendant plus de 10 secondes, les échantillons ont été arrêtés par l’EDR.

Nous pouvons constater que cette configuration EDR a permis l’exécution de tous les échantillons, mais qu’ils ont tous été rapidement arrêtés. Cette solution semble reposer principalement sur l’analyse comportementale.

Sur le plan technique, notre petite expérience a montré que les solutions commerciales EDR/EDP ont réussi à stopper l’exécution de la plupart des échantillons de ransomware. Même si certains échantillons ont échappé à l’analyse statique, ils ont généralement été détectés par l’analyse comportementale.

Les configurations de ces solutions sont extrêmement dépendantes du taux de réussite et les défenseurs doivent s’assurer qu’ils ont choisi et testé les configurations les plus efficaces pour eux.

Toutefois, dans un environnement où les systèmes d’exploitation et les applications présentent constamment de nouvelles vulnérabilités à exploiter et de nouvelles fonctionnalités qui peuvent être violées, il est difficile de conserver les mêmes règles de prévention et de détection. Les groupes de ransomware sont incités à trouver de nouvelles façons d’exécuter leurs logiciels malveillants. Cela génère un environnement dans lequel les défenseurs et les attaquants peuvent poursuivre le combat qu’ils mènent depuis le début.

Puisque les attaques ciblées deviennent de plus en plus populaires, que les attaquants naviguent autour d’un réseau et utilisent une variété d’outils pour la reconnaissance et l’exportation de données, il serait bénéfique de s’assurer que ces comportements soient détectés avant que le chiffrement réel ait lieu.

Les initial access brokers, ces cybercriminels maillons de la chaîne de fabrication et distribution des ransomwares, trouvent un moyen d’accéder au réseau interne d’une organisation et le vendent ensuite sur les forums du dark web. Si cette activité initiale est détectée, alors une attaque de ransomware peut potentiellement être évitée.

Si l’on considère également que les groupes de ransomware ne s’attaquent pas uniquement aux endpoints et qu’ils chiffrent les disques réseau et, depuis peu, les disques durs virtuels, il est important de mettre en œuvre des solutions pour protéger ces zones également. Tout cela démontre la complexité de la défense contre les ransomwares et le fait qu’il n’existe actuellement aucune solution unique au problème.

Compte tenu de l’importance des gains générés par une attaque de ransomware et du fait que de nombreuses organisations sont présentes sur Internet, les groupes n’ont peut-être même pas besoin d’un taux de réussite élevé pour gagner correctement leur vie. En veillant à ce qu’il n’y ait pas de moyen simple d’accéder à votre réseau interne, votre organisation peut devenir une cible moins attrayante pour les groupes de ransomware.

Pour en savoir plus sur nos offres de détection des menaces, cliquez ici.