Cette étude démontre à quel point la détection des sites web et la prévention des attaques sont devenues compliquées, où les antivirus conventionnels s'avèrent inefficaces face aux nouvelles menaces.
Le processus de détection se complique en raison de la variété des techniques d'évasion employées par les pirates. Des techniques conçues pour prévenir la détection et la catégorisation des sites en tant que malveillants, explique les auteurs du rapport.
Les dix ingénieurs de Google, coopérateurs sur cette étude, se sont basés sur quatre années de données issues de l'analyse de 8 millions de sites et 160 millions de pages Web à partir de l'API (interface de programmation) Safe Browsing qui s'oppose à l'ouverture des sites suspects par des avertissements assez intrusifs.
Google emploie à son tour une variété de méthodes de détection, comme passer à l'épreuve les sites dans une machine virtuelle et noter son comportement, ou encore utiliser des émulateurs de navigateurs qui enregistrent les séquences d'attaque.
Ces émulateurs utilisent un parseur HTML et un moteur JavaScript open source modifié.
Mais une nouvelle sorte simplifiée d'ingénierie sociale implique très peu l'utilisateur et ne nécessite de sa part qu'un simple clic de souris qui déclenche la séquence de l'exploit ou exécute une attaque sur un navigateur non patché ayant une faille de sécurité connue.
Le code malveillant ne se trouve souvent même pas sur la page avant ce clic, ce qui rend impossible la détection classique du malware.
Une technique d'évasion que Google tente de contrecarrer en amenant ses machines virtuelles à cliquer intelligemment. Une solution pas aussi évidente qu'elle peut en avoir l'air.
Une autre technique très prisée par les pirates, connue sous le nom « d'IP cloaking », corse aussi pour beaucoup la tâche de Google. Les sites malicieux qui l'emploient refusent de délivrer du contenu malicieux à certaines plages d'adresses IP, notamment celles connues pour être utilisées par des chercheurs en sécurité.
En 2009, 200 000 sites répertoriés par Google employaient l'IP cloaking. Quelle solution ? Se procurer continuellement des adresses IP « non connues par l'adversaire ».
Quant aux antivirus, leurs éditeurs seraient complètement dépassés par les évènements à en croire Google.
Ces derniers, qui n'utilisent que les signatures des menaces comme moyen de détection, passent à côté des codes exécutables tassés, ou HTML/JS minifiés ou compressés pour passer inaperçus, et s'exécuter quand même.
Bien que de plus en plus sophistiquée, cette méthode ne pourrait être utilisée efficacement pour détecter les menaces en temps réel, ajouté à cela, le fait que les « adversaires peuvent utiliser les antivirus comme des oracles (sic) avant de déployer leur code malicieux dans la nature »
3 millions de ce genre d'alertes sont affichés par jour aux 400 millions d'utilisateurs qui utilisent un navigateur ou un plug-in compatible Safe Browsing.
Mais ce n'est certainement pas assez.
Le rapport détaillé est disponible en téléchargement (PDF, 300 Ko)Source : Google
