Microsoft a dévoilé un nouveau service de détection des menaces qui, espère-t-il, pourra améliorer considérablement la protection de la sécurité sur les systèmes Linux contre les logiciels malveillants.
1- Le projet Freta : lutte contre les logiciels malveillants
2- Les failles de sécurité sur Linux
Le projet Freta : lutte contre les logiciels malveillants
Le projet Freta est un outil gratuit basé sur le cloud qui est capable de détecter de nouvelles formes de logiciels malveillants et d’autres logiciels malveillants tels que les rootkits et les cryptominers qui, selon Microsoft, auraient pu passer inaperçus auparavant dans les systèmes Linux.
L’entreprise note que de telles menaces se cachent souvent dans les images des machines virtuelles du nuage Linux, mettant en danger les utilisateurs de la plate-forme open-source.
Microsoft affirme que le projet Freta offre une toute nouvelle façon de détecter les menaces de logiciels malveillants, allant au-delà des méthodes existantes qui reposent sur des capteurs pour prédire la présence de quelque chose de fâcheux.
Ces méthodes peuvent souvent être détournées ou contournées entièrement par les auteurs de logiciels malveillants, ce qui signifie qu’une nouvelle approche était nécessaire. Le projet Freta est en mesure d’analyser les machines virtuelles (VM) afin de connaître les nouveaux environnements et la manière dont ils sont affectés par les logiciels malveillants, avant d’utiliser ces connaissances pour repérer les menaces émergentes.
Selon Microsoft, le projet Freta analyse automatiquement les images de milliers de machines virtuelles Linux en nuage afin de détecter de nouvelles formes de logiciels malveillants et la corruption des capteurs, et prend en charge plus de 4 000 versions de noyau au lancement.
Cela le rend incroyablement résistant, ce qui signifie que les auteurs de logiciels malveillants devraient investir massivement dans le développement de nouvelles menaces pouvant contourner la nouvelle technologie d’analyse. Les utilisateurs du projet Freta, qui auront besoin d’un compte Microsoft pour accéder au service, peuvent également soumettre une image capturée pour générer un rapport sur son contenu, ce qui contribue à renforcer la portée et l’expertise de l’initiative.
“Nous considérons souvent le domaine de la sécurité informatique comme un champ de murs et de barrières qui empêchent les intrus d’entrer”, a écrit Mike Walker, directeur principal de Microsoft, New Security Ventures, dans un article de blog annonçant le lancement.
“Avec le projet Freta, nous invitons les lecteurs à penser non pas aux murs mais à la lumière du soleil… Le projet Freta est une feuille de route vers une détection fiable du nuage qui peut permettre aux entreprises de s’engager dans des balayages réguliers et complets de découverte de logiciels malveillants non détectés”.
Initialement disponible uniquement pour les systèmes Linux, Microsoft dit qu’il prévoit d’ajouter bientôt la prise en charge de Windows pour le projet Freta, ainsi que la technologie d’IA qui peut stimuler le potentiel de prise de décision.
“Nous espérons que le projet Freta donnera du pouvoir aux administrateurs et aux intervenants et qu’il sera utilisé dans le monde entier comme il l’a été chez Microsoft : pour chasser les intrus avancés et leurs boîtes à outils”, a conclu M. Walker.
Les failles de sécurité sur Linux
Le temps où l’idée que des virus ou d’autres logiciels malveillants frappent Linux était presque universellement accueillie par des regards interrogateurs, voire carrément rejetée, est révolu. Longtemps considérés comme le mariage parfait de la qualité des logiciels libres et d’une sécurité solide de type Unix, les systèmes d’exploitation basés sur Linux sont aujourd’hui de plus en plus considérés comme une autre cible précieuse – et viable.
Ce changement de mentalité est en partie le résultat d’une prise de conscience croissante, tant chez les amateurs de Linux que chez les administrateurs système, qu’un environnement Linux compromis tel qu’un serveur web offre aux attaquants un excellent “retour sur investissement”. Tout aussi important, la recherche sur les logiciels malveillants de ces dernières années a apporté une meilleure visibilité des menaces auxquelles sont confrontés les systèmes Linux.
Les distributions Linux pour le bureau continuent d’être largement dépassées par les systèmes Windows (et aussi par les machines MacOS, d’ailleurs). Ce statut de niche joue certainement un rôle dans la relative rareté des logiciels malveillants basés sur Linux. Mais si l’on se concentre sur les serveurs publics, il devient évident que les activités malveillantes sont bien plus nombreuses sous le couvert de Linux. On pourrait dire la même chose de toutes sortes d’appareils embarqués, d’équipements de réseau et de smartphones Android qui, eux aussi, sont basés sur Linux sous une forme ou une autre.
Concentrons-nous ici sur les serveurs, notamment parce qu’ils sont les plus touchés par les attaques de logiciels malveillants contre les systèmes fonctionnant sous Linux. Les distributions de serveurs Linux sont au cœur de la plupart des centres de données et le système d’exploitation est important pour les entreprises de toutes formes et de toutes tailles. En effet, une grande partie du web actuel, y compris les serveurs exploités par des sociétés comme Google, Facebook et Twitter, est alimentée par Linux.
Il n’est donc pas surprenant que l’histoire récente ne manque pas d’exemples de dommages causés par des logiciels malveillants qui ont compromis l’installation d’un serveur Linux. Un serveur vulnérable est une cible inestimable pour divers types d’actions malveillantes, notamment le vol de données personnelles et d’identifiants d’accès, la redirection du trafic web, les attaques DDoS et l’extraction de cryptocurrences. Il est important de noter que le serveur peut également être utilisé de manière abusive pour héberger des serveurs de commande et de contrôle (C&C) pour d’autres codes malveillants et pour lancer des campagnes de spam afin de diffuser des logiciels malveillants – oui, en particulier des logiciels malveillants ciblant les systèmes Windows.
Il n’est même pas nécessaire de chercher bien loin des exemples instructifs de failles dans la fameuse armure de logiciels malveillants de Linux. Il y a un peu plus d’un an, les chercheurs de l’ESET ont exposé une série de portes dérobées OpenSSH, une arme de choix pour les attaquants qui cherchent à arracher le contrôle des serveurs à leurs administrateurs. Les chercheurs ont déniché 21 familles de logiciels malveillants basés sur Linux, dont une douzaine n’avaient jamais été documentées auparavant. Presque toutes les souches avaient des fonctionnalités de vol d’identité et de portes dérobées.
Cette recherche est le résultat de trois années de travail qui ont finalement permis d’obtenir un aperçu unique de l’écosystème des logiciels malveillants sous Linux. Il est certain que ce n’était pas un effort isolé et que cela ne s’est pas produit de manière inattendue. Les chercheurs sont partis à la chasse, armés des résultats de leur recherche primée sur l’opération Windigo, qui a permis de rassembler environ 25 000 serveurs, la plupart alimentés par Linux, dans l’un des plus grands réseaux de serveurs zombies connus. Les machines compromises ont été utilisées de manière abusive pour le vol d’identités, les campagnes de spam, la redirection du trafic web vers des contenus malveillants et d’autres actions malveillantes.
Au cœur de la campagne, qui est restée non détectée pendant au moins trois ans, se trouvait la porte dérobée Linux/Ebury. Avant même que ce malware ne soit installé sur un serveur, les attaquants demandaient à Ebury de vérifier si le serveur n’était pas déjà équipé d’une autre porte dérobée SSH. C’est cette routine qui a déclenché la chasse aux familles de logiciels malveillants OpenSSH. Et le reste fait partie de l’histoire.
Au fil des ans, les chercheurs de l’ESET ont fait d’autres découvertes qui ont enrichi le corpus de connaissances sur les logiciels malveillants côté serveur sous Linux. Entre autres, on a découvert que Windigo était lié à l’une de leurs découvertes antérieures – Linux/Cdorked, l’une des portes dérobées les plus sophistiquées ciblant les serveurs web Apache de Linux à l’époque. De plus, Windigo a apporté des souvenirs de la recherche de l’ESET sur Mumblehard, un autre botnet qui a zombifié des milliers de serveurs Linux et qui a finalement été démantelé dans le cadre d’un effort international de répression avec le soutien des chercheurs de l’ESET.
