Emotet est un virus bancaire sévissant depuis 2014 et l’un des plus coûteux selon le Département de la Sécurité intérieure des Etats-Unis au même titre que les malwares Ryuk ou TrickBot. Présent dans un e-mail ou dans un lien piégé, Emotet se faufile dans de fausses factures, avis d’expédition ou même dans des informations de santé liées au covid-19
Le cheval de Troie Emotet est un dropper. Après infection, un dropper a pour fonction d’installer la charge, appelée payload. Ainsi, le dropper Emotet peut mettre en place d’autres rançongiciels et infecter totalement un endpointy.
De nouvelles variantes du cheval de Troie sont constamment identifiées, ce qui rend sa détection d’autant plus difficile pour la majorité des antivirus du marché.
Le 7 septembre dernier, l’ANSSI publiait un bulletin d’alerte sur le virus Emotet car ses dégâts, en France et dans le Monde, s’élevaient déjà à plus d’un million de dollars.
En octobre 2020, seuls sept anti-virus sur soixante-deux étaient capable d’identifier la présente du code malveillant.
Le 18 janvier 2021, une nouvelle variante du cheval de Troie a été soumise au site VirusTotal qui agrège 68 antivirus. Or, seulement 33 d’entre eux, soit moins de la moitié, ont détecté cette variante . La détection d’Emotet est cruciale, car elle signale les prémices d’une attaque dont les conséquences sont lourdes, et cette détection doit arriver le plus tôt possible.
Pourquoi des variantes du dropper Emotet échappent aux antivirus ? Même à ceux qui s’appuient sur des techniques d’intelligence artificielle, alors qu’Emotet sévit depuis plusieurs années ? La raison est que chaque variante incorpore un nouveau camouflage du dropper et dans le cas de cette variante d’Emotet, le programme initial est caché dans du code libre. De ce fait, une majorité d’antivirus est leurrée.
Comment détecter cette variante ?
Malgré l’efficacité des antivirus, il convient d’utiliser en complément une solution permettant de détecter, classifier et analyser les variantes de codes malveillants connus, mais également les menaces inconnues. La réponse passe par l’analyse morphologique. Cette méthode permet de rassembler et mettre en relation des comportements malveillants connus et inconnus afin d’assembler, en moins d’une seconde, toutes les pièces du puzzle. Afin d’éviter les « faux positifs », l’analyse morphologique prévoit d’exhiber un comportement similaire déjà identifié dans un code malveillant connu et ainsi inférer que la corrélation de comportement peut conduire à une action malveillante. Les meilleures solutions d’analyse morphologique offrent la possibilité de vérifier manuellement l’analyse du système. Dans le cadre de la variante d’Emotet, la variante était camouflée dans le logiciel libre Clipping Regions , et la portion code dans cette variante d’Emotet à partir de l’adresse mémoire 0x10002365 contient le vrai code d’exécution d’Emotet.
Démonstration en images :
En demandant plus d’information, l’analyse morphologique précise que ce fichier a un comportement malveillant et que ce comportant était déjà présent dans un autre code malveillant dont le MD5 est donné.
Ainsi, la variante est correctement détectée, surpassant la majorité des antivirus présents sur le site Virus Total.
Pour aller plus loin :
Etant donné que de nouvelles variantes de malwares fleurissent plus vite que les bourgeons au printemps, il est aujourd’hui nécessaire d’avoir recours à l’analyse morphologique pour garantir une protection efficace contre les attaques cyber. Que celles-ci soient sophistiquées, ciblées ou tout simplement pas encore détectées, la majorité des solutions antivirus ne suffisent pas pour s’en défendre. En effet, si les antivirus couvrent 99,9% des virus actuels, il n’en reste pas moins que les 0,01% restants sont responsables de 95% des dommages causés par les attaques cyber. Grâce à son temps de réponse inférieur à une seconde, l’exploration des comportements malveillants contenue dans l’analyse morphologique est une solution efficace et rapide contre les malwares inconnus.
Contactez nous :
L’équipe R&D de Cyber-Detect à l’origine des solutions d’analyses morphologiques répond à vos questions : contact@cyber-detect.com