CIS 5.9 : Processus de sandboxing et scanning (dont le cloud)

International Comodo Forums Francais / French
1

Fichiers inconnus: processus de sand-boxing et scanning

Quand un exécutable est exécuté pour la première fois, il passe à travers les inspections de sécurité suivantes de CIS:
Antivirus scan
Défense + contrôle heuristique
Contrôle de Buffer Overflow
Si les vérifications ci-dessus déterminent que le fichier est un Malware, l’utilisateur est alerté et le fichier est mis en quarantaine ou supprimé

  • Une application peut être reconnue comme «sûre» par CIS (et donc pas sandboxée ou scannée dans le cloud) dans les cas suivants:
  • Parce qu’elle est dans la Liste Blanche locale de Comodo des applications connues comme sûres
  • Parce que l’utilisateur a ajouté l’application aux «Fichiers de confiance» locaux
  • Parce que l’utilisateur a accordé les privilèges élevés “d’installateur” à l’application (CIS détecte si un exécutable nécessite des privilèges administratifs. Si c’est le cas, il demande à l’utilisateur. Si l’utilisateur choisit de faire confiance, CIS considère le programme d’installation et tous les fichiers qu’il génére comme sûrs)
  • En outre, un fichier n’est pas sandboxé ou envoyé pour analyse dans le cloud, si il est défini comme programme d’installation ou de mise à jour dans la politique de Défense+

Cloud Scanning Partie 1

Les fichiers et processus qui passent les inspections de sécurité ci-dessus, mais ne sont pas encore reconnus comme «sûrs» (liste blanche) sont des fichiers “inconnus”. Afin de tenter d’établir si un fichier est fiable ou non, CIS va d’abord consulter le dossier Look-Up Server (FLS) de Comodo pour vérifier la liste des signatures la plus récente:

  • Un hach numérique du processus ou fichier non connu est créé.
  • Ces haches sont téléchargés sur le FLS afin de vérifier si la signature du fichier est présent sur les dernières bases de données. Cette base de données contient la liste noire globale des signatures de tous les programmes malveillants connus et une liste blanche des signatures des fichiers «sûrs».
    • Tout d’abord, les serveurs de Comodo comparent ces haches avec la dernière liste noire disponible
    • Si le hach est découvert sur cette liste noire, alors c’est un Malware
    • Le résultat est renvoyé à l’installation locale de la CIS
  • Si le hach n’est pas sur la dernière liste noire, la signature est vérifiée dans la liste blanche la plus récente
    • Si le hach est dans cette liste blanche, alors le fichier est de confiance
    • Le résultat est renvoyé à l’installation locale de la CIS
    • La liste blanche locale est mise à jour
  • Les vérifications de FLS détaillées ci-dessus sont quasi instantanées.

Sandbox et Cloud Scanning Partie 2

Si le hach n’est ni dans la dernière liste noire ni dans la liste blanche, le fichier reste «non reconnu». CIS prend simultanément deux actions distinctes mais complémentaires:
(1) Le fichier non reconnu sera placé dans la sandbox locale afin qu’il ne puisse pas accéder à des fichiers importants du système d’exploitation ou endommager l’ordinateur, et
(2) Il va déclencher la technologie de cloud scanning de Comodo afin de déterminer si le fichier se comporte d’une façon malveillante.

  • Les fichiers et les applications non reconnus seront placés dans la sandbox. CIS va alerter l’utilisateur qu’il va exécuter l’application dans la sandbox.

  • Les applications automatiquementen sand-boxées sont exécutées avec la restriction “partiellement limitée”. Plus de détails: les applications sandboxées sont autorisées à s’exécuter sous un ensemble spécifique de conditions ou privilèges. Dans CIS, ils sont connus comme “niveaux de restriction”. Il y a quatre niveaux - partiellement limité, limité, restreint et non sécurisé (“partiellement limité” est le niveau par défaut pour les applications qui sont automatiquement sandboxées). En partie, les niveaux de restriction sont mis en œuvre en appliquant ou en assouplissant les droits d’accès natifs que Windows peut accorder à une application. Par exemple, le niveau «Limité» met en application quelques-unes des restrictions prévues par le système d’exploitation et lui accorde les droits d’accès similaires à ceux qu’aurait une application exécutée dans un compte utilisateur non-administrateur. Ces niveaux de restriction sont renforcés par certaines restrictions propres à Défense + qui s’appliquent à toutes les applications sandboxées (par exemple, elles ne peuvent pas faire des captures de clavier ou d’écran, installer des “windows hooks”, accéder à des interfaces COM protégées ou accéder en mémoire à des applications non sandboxées. Si l’utilisateur active la virtualisation, alors les applications sandboxées ne peuvent pas modifier les clés de Registre ou les fichiers protégés existants).

  • Les applications automatiquement sandboxées ne peuvent pas être affichées ou modifiées dans l’interface. Elles ne peuvent être enlevées que si elles deviennent reconnues comme «sûres» par CIS (voir conditions ci-dessus).

  • Les fichiers non reconnus sont simultanément téléchargés sur les serveurs de Comodo Instant Malware Analysis pour être soumis à des vérifications supplémentaires:

    • Tout d’abord, les fichiers vont faire l’objet d’un autre scan anti-virus sur les serveurs de Comodo.
    • Si l’analyse découvre que le fichier est malveillant (par exemple, l’analyse heuristique découvre qu’il s’agit d’une nouvelle variante de malware ), il est désigné comme un malware. Ce résultat est renvoyé à l’installation locale de CIS et les listes noires locale et globale sont mises à jour
    • Si l’analyse ne détecte pas que le fichier est malveillant, il passe à l’étape suivante de l’inspection - la surveillance du comportement.
    • Le système d’analyse de comportement est un service basé sur le cloud qui est utilisé pour aider à déterminer si un fichier a un comportement malveillant. Une fois soumis au système, l’exécutable inconnu sera automatiquement exécuté dans un environnement virtuel et toutes les actions qu’il prend seront surveillées. Par exemple, les processus engendrés, les modifications de fichiers et de clés de registre, les changements de l’état du Host et l’activité réseau vont être enregistrés.
    • Si ces comportements sont jugés comme étant malveillants, la signature de l’exécutable est automatiquement ajoutée à la liste noire de l’antivirus.
    • Si aucun comportement malveillant n’est enregistré, alors le fichier est placé dans les fichiers" non reconnus"»et sera soumis aux techniciens de Comodo pour des vérifications supplémentaires. Nota: L’analyse du comportement permet d’identifier les fichiers malveillants et de les ajouter à la liste noire globale, mais elle ne peut pas déterminer que le fichier est «sûr». Le statut de «sûr» ne peut être donné à un fichier qu’après avoir fait l’objet de contrôles plus approfondis par les techniciens de Comodo.
    • Dans tous les cas, le résultat est renvoyé à l’installation de CIS dans un délai de 15 minutes environ. Si l’exécutable n’a pas été jugé comme étant malveillant, il sera exécuté dans la sandbox. Il sera simultanément ajouté à la liste des fichiers non reconnus et transféré aux techniciens de Comodo pour analyse. Si l’on découvre que le fichier est une menace, CIS affichera une alerte AV à l’utilisateur. A partir de cette alerte, l’utilisateur peut choisir de mettre le fichier malicieux en quarantaine, de le nettoyer (= supprimer) ou de désinfecter. Cette nouvelle menace sera automatiquement ajoutée à la base de données de la liste noire globale ce qui i bénéficie à tous les utilisateurs de CIS.