AccueilActualités informatiqueMicrosoft Defender se dote d'un frein à ransomware basé sur l'IA

Microsoft Defender se dote d’un frein à ransomware basé sur l’IA

Microsoft a ajouté une nouvelle couche de protection à son logiciel payant Defender for Endpoint pour l’environnement professionnel. Celle-ci doit permettre de mieux détecter et bloquer les attaques spécifiques de ransomware à l’aide de l’apprentissage automatique.

Le fabricant décrit la nouvelle approche et les premiers résultats comme suit : Dans les attaques de ransomware contrôlées par des humains, ceux-ci utilisent finalement le clavier pour se déplacer dans le réseau après avoir pénétré dans un ordinateur. En d’autres termes, les pirates entrent des commandes sur une ligne de commande. La protection automatique basée sur le cloud de Windows Defender a maintenant été dotée d’un système d’apprentissage automatique pour la protection contre de telles attaques, qui évalue l’état de vulnérabilité de l’ordinateur et, le cas échéant, utilise des blocages plus agressifs pour protéger l’appareil et empêcher les attaquants de continuer à agir.

Pour simplifier, le système cloud reconnaît que l’appareil est menacé à l’aide de comportements et de modèles – par exemple en injectant du code système et en utilisant ensuite le planificateur de tâches. Il règle ensuite les autres évaluations (heuristiques) sur une plus grande sensibilité. Cela permet de bloquer des actions apparemment inoffensives. Les points de données sont collectés par le module de détection des comportements du Defender. Si la sensibilité n’était pas réajustée, ce dernier ne reconnaîtrait pas encore de danger dans les différentes actions.

Comme la protection adaptative est basée sur l’IA, l’évaluation des risques de l’appareil ne dépend pas uniquement d’indicateurs individuels. L’IA utilise un grand nombre de modèles et de caractéristiques pour estimer si le système est en train d’être attaqué. Ces capacités seraient particulièrement adaptées à la lutte contre les ransomwares activement commandés par l’homme. Même si les attaquants utilisent un fichier ou même un processus légitime pas encore connu ou connu comme bénin, le système peut contribuer à empêcher le lancement du fichier ou du processus.

Dans son billet de blog sur la sécurité du mécanisme d’IA, Microsoft rapporte un cas concret dans lequel le réajustement de la sensibilité de détection a finalement permis de stopper un malware bancaire appelé Cridex. Sans la protection de l’IA, le cheval de Troie serait devenu actif et aurait donné accès aux attaquants, qui auraient pu causer d’autres dommages. Le blocage a été possible grâce à la prise en compte d’indicateurs qui n’auraient autrement reçu qu’une faible priorité pour une réaction de défense.

Pendant ce temps, les spécialistes de la simulation d’attaques (Red Teamer) et de la réponse aux incidents discutent de la manière dont la protection offerte par Defender pourrait être contournée. Un chercheur en sécurité démontre ainsi comment il peut apparemment exécuter un modèle d’attaque typique reconnu en renommant simplement des fichiers.

Pour les curieux, cet exemple démontre une technique d’attaque connue appelée Living of the Land. Les pirates utilisent des outils légitimes comme regsrv32.exe à leurs fins. Dans ce cas, la commande charge un script malveillant depuis un serveur externe et l’exécute immédiatement. Comme cela se produit dans le contexte regsrv32, les mesures de protection telles que White Listing ne sont pas efficaces. Lors de la première tentative, Defender bloque l’accès ; après le changement de nom, l’attaque réussit. Il n’est toutefois pas clair si la nouvelle IA de Microsoft était déjà active lors de cette expérience.

Microsoft a désormais activé les nouvelles fonctions de Defender pour tous les clients professionnels. Pour les utiliser, la protection cloud doit être activée, si elle ne l’est pas encore. Il est encore trop tôt pour faire une évaluation définitive. Mais s’il s’avérait effectivement que la fonction de protection de l’IA ou de l’heuristique basée sur des règles repose en grande partie sur des caractéristiques faciles à modifier comme les noms de fichiers, son utilité serait très limitée. En effet, les attaquants apprendraient rapidement comment contourner ces éléments.

Plus d'articles