Neuf malwares sur 10 échappent aux listes noires

Selon Recorded Future, plus de 9 malwares et pages web malveillantes sur 10 échappent à la surveillance des sociétés diffusant des blacklists.

Les principaux services web de « blacklistage » rateraient l’essentiel de leurs cibles. A savoir des adresses Internet malveillantes et autres liens IP pointant vers des malwares. C’est en tout cas ce qu’avance la société américaine Recorded Future. Cette société du Massachusetts spécialisée dans l’analyse temps réel des menaces en ligne estime que « 92% des adresses IP suspectes détectées par notre méthode n’étaient pas identifiées par les listes noires courantes ».

Big Data et analytique au service de la sécurité

Certes, le fait que Recorded Future propose aux entreprises un service d’information des menaces en temps réel peut conduire à relativiser l’objectivité de ces résultats. Néanmoins, c’est en déployant de nouveaux moyens de détection que la société a pu constater les défauts des blacklists traditionnelles. Ces dernières dénichent les dangers du web en s’appuyant sur des outils de récolte, tels les « pots de miel » (honeypots où serveurs web leurres pour mieux observer les va-et-vient des intrus) et autres systèmes de détection d’intrusion. Recorded Future s’est inspiré des travaux du MLSec Project (Machine Learning Security), où Big Data et intelligence artificielle sont mis au service de la sécurité, pour développer de nouvelles méthodes de détection des menaces en complément de celles des blacklists traditionnelles.

Globalement, Recorded Future scrute le web, ouvert ou sous-terrain, pour récolter des informations sur les malwares et les corréler afin d’en définir la pertinence. « Nous pensons que de nouvelles informations et autres infrastructures suspectes peuvent être identifiées par l’analyse des sources issues du Web et du darkweb ; informations relatives à divers types de logiciels malveillants liés à des adresses IP et à des URL, expliquent les experts de l’entreprise dans leur rapport. Dans cette étude, nous utilisons notre index de sources pour identifier des adresses IP mentionnées dans des contextes potentiellement suspects […]. On pourrait faire l’analogie avec la fréquentation d’un bar : si vous y voyez le nez d’un criminel s’y pointer, ce pourrait être considéré comme juste un hasard, mais si vous en voyez deux ou plus, il est probable que ce n’est pas un endroit que vous devriez visiter ! »

890 000 documents analysés

A travers près de 700 000 sources en sept langues, Recorded Future a ainsi analysé 890 000 documents (pages web, tweet, etc.) mentionnant un malware entre le 1er janvier 2014 et le 2 août 2015. Au final, et après affinage des résultats, la société a recueilli 1 521 adresses IP pour 198 malwares différents. Or, seules 117 de ces plus de 1 500 adresses sont présentes parmi les quelque 258 000 référencées dans les listes noires du marché. Ces dernières manqueraient donc 92% des URL suspectes, selon Recorded Future.

Upatre, Dyreza, Citadel, Zeus ou CryptoWall figurent parmi les malwares qui partagent le plus d’adresses IP (jusqu’à 476 pour Upatre chez Recorded Future contre 47 au sein des blacklists). Ces URL sont essentiellement issues des Etats-Unis (180), d’Ukraine (77) et de Serbie (59).


Lire également
Le malware Rombertik détruit les PC quand il est détecté
Les équipements réseau menacés par le malware Linux/Moose
Malware : Hammertoss se cache derrière Twitter pour voler des données

Crédit Photo : Max Sattana-Shutterstock