LIVRE BLANC

Au cœur de la technologie Sandbox

Découverte de la technologie Sandbox et de son
application pratique face aux menaces actuelles
LIVRE BLANC : AU CŒUR DE LA TECHNOLOGIE SANDBOX

Introduction

Au cœur de la technologie Sandbox

Dans le domaine informatique, le terme Sandbox a longtemps été utilisé pour désigner un environnement sécurisé
et isolé dans lequel exécuter un code malveillant en vue d’une analyse par des experts. Ce même concept est
désormais appliqué par les appliances de sécurité réseau pour exécuter et inspecter le trafic réseau, et découvrir
ainsi les codes malveillants qui étaient auparavant susceptibles d’échapper aux mesures de sécurité classiques.

Capable d’émuler virtuellement des systèmes d’exploitation entiers, une solution de Sandbox exécute en toute
sécurité le code malveillant de manière à observer son activité. Les activités malveillantes, notamment les
opérations sur fichier/disque, les connexions réseau, les changements de configuration du registre/système,
etc., sont démasquées, ce qui permet de neutraliser les menaces.

Utilisés jusqu’à présent pour les fichiers exécutables, les systèmes de Sandbox sont désormais aussi employés
pour exécuter des données applicatives susceptibles de dissimuler un code malveillant, comme Adobe Flash et
JavaScript entre autres. Certaines applications telles qu’Adobe Reader X intègrent leur propre Sandbox avec la
même finalité. Par exemple, si Reader X tombe sur un code malveillant à l’ouverture d’un fichier PDF, le code est
confiné dans un environnement Sandbox et ne peut donc pas infecter le système d’exploitation.

2 www.fortinet.com ou www.fortinet.fr
 LIVRE BLANC : AU CŒUR DE LA TECHNOLOGIE SANDBOX

Pourquoi recourir aujourd’hui à la technologie Sandbox ?

Dans le domaine informatique, le terme Sandbox a longtemps été utilisé pour désigner un environnement sécurisé et isolé
dans lequel exécuter un code malveillant en vue d’une analyse par des experts. Ce même concept est désormais appliqué
par les appliances de sécurité réseau pour exécuter et inspecter le trafic réseau, et découvrir ainsi les codes malveillants qui
étaient auparavant susceptibles d’échapper aux mesures de sécurité classiques. Capable d’émuler virtuellement des systèmes
d’exploitation entiers, une solution de Sandbox exécute en toute sécurité le code malveillant de manière à observer son
activité. Les activités malveillantes, notamment les opérations sur fichier/disque, les connexions réseau, les changements de
configuration du registre/système, etc., sont démasquées, ce qui permet de neutraliser les menaces.

Utilisés jusqu’à présent pour les fichiers exécutables, les systèmes de Sandbox sont désormais aussi employés pour exécuter des
données applicatives susceptibles de dissimuler un code malveillant, comme Adobe Flash et JavaScript entre autres. Certaines
applications telles qu’Adobe Reader X intègrent leur propre Sandbox avec la même finalité. Par exemple, si Reader X tombe sur un
code malveillant à l’ouverture d’un fichier PDF, le code est confiné dans un environnement Sandbox et ne peut donc pas infecter
le système d’exploitation.
Pourquoi recourir aujourd’hui à la technologie Sandbox ?

Si la technologie Sandbox est si ancienne, pourquoi prend-elle tout à coup une telle importance ? Les cybercriminels arrivent
à mieux comprendre les méthodes de détection courantes et ont donc tendance à renforcer leurs efforts de recherche et
développement afin de déjouer les solutions de sécurité. La technologie Sandbox permet aujourd’hui de déceler les nouvelles
menaces dissimulées ou les anciennes menaces qui prennent une nouvelle apparence trompeuse.

Sandbox et détection proactive des signatures

La technologie Sandbox est cependant très gourmande en ressources. Le code doit être intégralement exécuté dans
l’environnement Sandbox avant de pouvoir être analysé. Et l’exploration de tous les chemins d’exécution du code malveillant,
avec les éventuels modules supplémentaires qu’il tente de télécharger, prend du temps. Fortinet combine la technologie Sandbox
avec la détection proactive des signatures afin de filtrer le trafic avant son arrivée dans l’environnement Sandbox. Ce procédé est
en effet plus rapide que la technologie Sandbox seule.

Le processus classique de détection des signatures est réactif, car les signatures sont simplement les empreintes des menaces
qui ont été repérées « dans la nature ». Le langage breveté Compact Pattern Recognition Language (CPRL) de Fortinet est une
technologie de détection proactive des signatures à inspection approfondie, développée après plusieurs années de recherche par
FortiGuard Labs. Une seule signature CPRL peut intercepter plus de 50 000 camouflages employés par un logiciel malveillant.
Associée à la technologie Sandbox, la détection proactive des signatures CPRL permet d’élargir le champ de recherche aux
attaques et méthodes utilisées par les menaces persistantes avancées (APT) et les techniques avancées de contournement (AET).

« ... Les cybercriminels arrivent à mieux comprendre les

méthodes de détection courantes et ont donc tendance à
renforcer leurs efforts de recherche et développement afin
de déjouer les solutions de sécurité. »

Menaces persistantes avancées

Les menaces persistantes avancées sont des attaques ciblées élaborées sur mesure. Elles peuvent échapper à la détection
directe grâce à des logiciels malveillants inconnus jusqu’à présent (ou «  zero-day  ») et exploiter les vulnérabilités existantes
(failles de sécurité non corrigées). Elles peuvent provenir d’URL et d’adresses IP hôtes totalement nouvelles ou inoffensives en
apparence. Leur objectif est d’infecter le système cible au moyen de techniques avancées de codage qui tentent de contourner
les barrières de sécurité et de rester inaperçues aussi longtemps que possible.

3
LIVRE BLANC : AU CŒUR DE LA TECHNOLOGIE SANDBOX

Techniques avancées de contournement

Les menaces peuvent contourner les barrières de sécurité Fenêtre de commande et de contrôle botnet
de multiples façons. Voici quelques-unes des techniques de L’activité de commande et de contrôle botnet commence
contournement de Sandbox les plus courantes. généralement par l’introduction d’un injecteur. L’injecteur est
un code parfaitement anodin différent d’une routine, qui se
Bombes logiques connecte à une URL/adresse IP afin de télécharger un fichier
Les bombes logiques les plus répandues sont les bombes sur commande. La commande peut être émise par un pirate
à retardement, qui ont été utilisées dans des attaques très plusieurs heures, jours ou semaines après l’exécution initiale.
médiatisées. Dans une bombe à retardement, la partie Si le serveur auquel l’injecteur se connecte est inactif durant la
malveillante du code reste cachée pendant un laps de temps fenêtre d’opportunité, pendant laquelle le système de Sandbox
donné. Le pirate peut dissimuler des logiciels malveillants sur exécute le code, aucune activité malveillante n’est observée.
plusieurs systèmes. Ils passent inaperçus jusqu’au moment La technologie CPRL permet d’intercepter les techniques
fixé pour l’explosion de toutes les bombes. D’autres bombes de codage inhabituelles associées aux logiciels malveillants
logiques se déclenchent au moment d’une interaction sans avoir à atteindre cette fenêtre d’opportunité. Le réseau
humaine (clic sur la souris, redémarrage du système, etc.), mondial de veille FortiGuard inclut par ailleurs une surveillance
ce qui indique que la bombe se trouve dans l’ordinateur de des botnets qui révèle toute activité de botnet sur le terrain
l’utilisateur, et non dans une appliance d’inspection Sandbox. dès apparition.
Les bombes logiques sont difficiles à détecter, car il est peu
probable que les conditions logiques puissent être réunies dans Réseau Fast Flux
l’environnement Sandbox. Le code ne suit donc pas le chemin Les logiciels malveillants avancés peuvent utiliser des
d’exécution malveillant durant l’inspection. Fortinet élabore techniques Fast Flux ou des algorithmes de génération
l’environnement approprié pour démasquer les bombes de domaine pour modifier l’URL/adresse IP à laquelle
logiques grâce à la technologie CPRL et à une analyse par l’élément infecté va se connecter. Durant l’observation dans
émulation de code avant l’exécution proprement dite du code. l’environnement Sandbox, l’élément infecté recherche une
La technologie CPRL effectue une analyse en temps réel des adresse donnée, mais au fil du temps le code dans la machine
véritables instructions d’exploitation, de manière à pouvoir de l’utilisateur va emprunter un autre chemin vers une seconde
observer les conditions logiques qui déclencheront la bombe. adresse pour faire passer le trafic malveillant. FortiGuard suit
les réseaux Fast Flux et renvoie les informations de sécurité
Rootkits et bootkits recueillies au système de Sandbox en vue d’une utilisation
Les logiciels malveillants avancés contiennent souvent un durant les analyses préliminaires. Fortinet examine le niveau
composant rootkit qui corrompt le système d’exploitation DNS, et pas uniquement les listes noires d’adresses IP comme
en implantant un code au niveau du noyau de manière les autres fournisseurs se contentent de faire.
à prendre le contrôle total du système. Les systèmes de
Sandbox sont potentiellement vulnérables à cette technique Archives chiffrées
de contournement, car les dispositifs de surveillance Une bonne vieille astuce utilisée par les pirates est de chiffrer
comportementale peuvent également être corrompus. Par simplement les logiciels malveillants dans des archives. Puis,
ailleurs, les bootkits infectent le système en introduisant avec une pointe d’ingénierie sociale, ils incitent l’utilisateur à
un logiciel malveillant au moment de l’amorçage. C’est un ouvrir l’élément infecté en saisissant le mot de passe. Comme
procédé qui ne peut généralement pas être observé par une le système de Sandbox ne peut pas entrer automatiquement le
solution de Sandbox. Fortinet résout à nouveau ce problème mot de passe, le logiciel malveillant ne s’exécute pas pendant
grâce à la détection CPRL qui permet de détecter les routines le processus d’observation. La technologie Fortinet brevetée
de rootkit/bootkit avancées avant leur exécution. d’inspection des en-têtes d’archives compressées permet de
détecter les signatures de logiciels malveillants camouflées par
Détection de Sandbox le chiffrement.
Une autre technique avancée de contournement est la
reconnaissance de l’environnement. Le code APT peut Packers binaires
contenir des routines qui tentent de déterminer s’il s’exécute Les packers binaires dissimulent les logiciels malveillants en
dans un environnement virtuel, signe qu’il se trouve peut-être les chiffrant sous forme de portions tronquées que les antivirus
dans un environnement Sandbox. Il peut aussi rechercher les classiques ont du mal à analyser. Le code est décompressé
empreintes des environnements Sandbox spécifiques des lors de son exécution et infecte alors l’hôte. Des techniques
fournisseurs. Si le code détecte un environnement Sandbox, il similaires sont employées pour intégrer un code malveillant
ne suit pas son chemin d’exécution malveillant. La technologie dans des langages tels que JavaScript et ActionScript pour
CPRL est capable d’inspecter en profondeur, de détecter et de Adobe Flash. À l’origine, cette technologie était utilisée pour
capturer tout code enquêtant sur un environnement Sandbox. compresser un code exécutable en cas d’espace mémoire
limité. Aujourd’hui, la capacité mémoire n’est plus un problème,
mais les packers binaires sont fréquemment employés pour
déjouer l’inspection antivirus. Dans le cas de JavaScript et
ActionScript, cette méthodologie

4 www.fortinet.com ou www.fortinet.fr
 LIVRE BLANC : AU CŒUR DE LA TECHNOLOGIE SANDBOX

« ... Les cybercriminels

peut être utilisée en toute légalité pour la protection contre la
copie. Le moteur antivirus FortiGate permet de démasquer et arrivent à mieux
de détecter de nombreux packers binaires. Il décompresse
les logiciels malveillants dans leur format natif en vue d’une
comprendre les méthodes
analyse approfondie basée sur CPRL, ce qui permet une de détection courantes
détection en temps réel et une neutralisation ou une exécution
ultérieure dans l’environnement Sandbox. et ont donc tendance
Logiciels malveillants polymorphes
à renforcer leurs
Les logiciels malveillants polymorphes changent d’apparence efforts de recherche et
à chaque exécution et ajoutent ainsi des portions de code
altéré afin de déjouer les technologies d’inspection basées développement afin de
sur les modèles et les sommes de contrôle. Le code
malveillant s’exécute lors de la décompression par un système
déjouer les solutions de
d’exploitation. Le code polymorphe constitue un véritable défi sécurité. »
pour les technologies classiques d’inspection réactive. Mais
Fortinet relève ce défi avec brio par une association entre son
moteur antivirus d’inspection proactive, sa technologie CPRL
et le système de Sandbox. Le moteur peut décompresser malveillants privilégient le code 32  bits pour maximiser les
les logiciels malveillants dans leur format natif afin de filtrer le infections. La plupart des logiciels malveillants d’aujourd’hui se
plus de trafic possible avec un nombre réduit de ressources dissimulent encore dans des fichiers exécutables, notamment
de traitement, avant d’exécuter les éléments restants dans dans le format Portable Executable 32 bits (PE32). Les fichiers
l’environnement Sandbox pour une inspection approfondie. PE32 s’exécutent dans les environnements Windows XP et
7/8. La plupart des comportements malveillants peuvent donc
Reproduction dans l’environnement Sandbox être observés sous Windows XP (qui ne prend pas en charge
le code 64 bits) sans tests ultérieurs sous Windows 7/8. Mais
L’objectif de la technologie Sandbox est de reproduire le moteur antivirus de Fortinet fonctionnant sur FortiSandbox
intégralement le comportement d’un code malveillant. Dans avec CPRL prend totalement en charge les codes 32 bits et
l’idéal, le résultat dans l’environnement Sandbox devrait être 64 bits ainsi que de nombreuses plateformes : Windows, Mac,
identique au résultat observé si le code était exécuté dans Linux, Android, Windows Mobile, iOS, Blackberry et Symbian.
l’environnement d’un utilisateur. En pratique, il est difficile
d’obtenir des résultats identiques en raison du nombre de Mécanismes de sécurité Windows 7/8
variables en jeu. C’est comme essayer de faire pousser deux Windows a introduit une technologie de sécurité dans
plantes identiques à partir de graines : les moindres variations Windows 7/8 pour empêcher l’exécution des codes malveillants
au niveau de la quantité d’eau, de la lumière, de la température et des exploits de documents. Windows XP ne disposant pas
et de la composition du sol produisent des résultats différents. de la même technologie, l’exécution du code sous XP dans
l’environnement Sandbox améliore la détection, même si la
Exploits et applications menace est conçue spécialement pour Windows 7/8.
Les menaces avancées peuvent se dissimuler dans des
documents qui incitent l’application associée (telle que Word, Fin de vie de Windows XP
Excel ou Adobe Reader) à exécuter un code malveillant. Pour Windows XP est un terrain fertile pour les infections, et le
reproduire fidèlement ce comportement, la technologie Sandbox meilleur système d’exploitation pour une reproduction fidèle
doit passer par toute une série de systèmes d’exploitation, des menaces en vue de l’inspection Sandbox. Mais à compter
chacun exécutant plusieurs versions des applications. Ce du 8 avril 2014, Windows XP ne sera plus pris en charge par
processus de tâtonnement est à la fois long et coûteux. De Microsoft et plus aucun correctif de sécurité ne sera alors publié.
nombreuses solutions de Sandbox tentent de résoudre ce Des failles de sécurité toujours plus nombreuses devraient donc
problème par l’ajout de ressources, c’est-à-dire des CPU plus apparaître dans les environnements  XP. Ces derniers seront
puissants, un nombre plus élevé de machines virtuelles ou une encore plus propices aux infections. La bonne nouvelle, c’est
mémoire RAM plus importante. Mais cela s’avère inefficace et qu’un nombre encore plus élevé de logiciels malveillants se
pas du tout rentable. La méthode optimale consiste à mettre en déclencheront correctement sous XP dans l’environnement
balance les systèmes d’exploitation et les applications en fonction Sandbox. La mauvaise nouvelle, c’est que les pirates vont
de leur fréquence d’utilisation et à choisir l’environnement le plus trouver là une cible particulièrement intéressante. Il y a fort à
propice pour déclencher le comportement malveillant. parier que des logiciels malveillants vont être développés afin de
tirer parti au maximum de la nonchalance des utilisateurs qui ne
32 bits ou 64 bits, Windows XP ou Windows 7/8 sont pas encore passés à Windows 7/8. Au vu des tendances
Le code 32  bits peut s’exécuter dans les environnements passées, la migration ne va pas se faire du jour au lendemain.
32  bits et 64  bits. C’est pourquoi les créateurs de logiciels
5
LIVRE BLANC : AU CŒUR DE LA TECHNOLOGIE SANDBOX

Une analyse CPRL et une La solution FortiClient installée sur

neutralisation par UTM/NGFW sont les systèmes des utilisateurs reçoit
exécutées au niveau de FortiGate les informations de FortiGuard.
pour l’ensemble du trafic entrant.

ecté
c insp
Trafi
INTERNET Trafic réseau

Ins
pe
ct
io n
S a n d b ox
Re ou
t rd
’in
f or m
ation
s à FortiGuard FortiSandbox exécute le
code, l’analyse et
renvoie les informations
recueillies à FortiGuard.

Solution FortiSandbox déployée avec FortiGate

La solution FortiClient installée sur

les systèmes des utilisateurs reçoit
les informations de FortiGuard.

INTERNET Trafic réseau

R et
ou

d’
r

in f
orm rd
ations à FortiGua

FortiSandbox inspecte le trafic

en toute transparence, avec
une analyse CPRL, des alertes
réseau et des rapports PDF.

Déploiement autonome de FortiSandbox

6 www.fortinet.com ou www.fortinet.fr
 LIVRE BLANC : AU CŒUR DE LA TECHNOLOGIE SANDBOX

Le paysage des menaces en bref

La plupart des menaces observées par FortiGuard  Labs utilisent le code 32  bits et sont conçues pour s’exécuter dans les
environnements Windows XP. Windows XP reste un marché actif ainsi qu’une cible facile. Tant que les pirates peuvent développer
des logiciels malveillants 32 bits qui fonctionnent sous XP aujourd’hui et restent actifs sous Windows 7/8 lorsque les utilisateurs
procèdent à une migration, rien ne les pousse à concevoir des logiciels malveillants personnalisés pour Windows 7/8. Bien que
FortiGuard Labs ne prévoit pas un afflux immédiat de menaces 64 bits, Fortinet est déjà en position de capturer les deux codes
grâce au trio CPRL, moteur antivirus et FortiSandbox.

Systèmes d’exploitation pris en charge par FortiSandbox

Pour intercepter les menaces avec succès et efficacité, FortiSandbox alloue des ressources aux environnements virtuels
Windows XP et Windows 7/8 en fonction du paysage actuel des menaces. Les environnements pris en charge évoluent ainsi
au même rythme que ce paysage. Les avancées en matière de détection des nouvelles technologies de contournement et des
plateformes ciblées sont intégrées dans FortiGate et FortiSandbox au fur et à mesure de leur apparition. FortiSandbox assure
également une détection indépendante du système d’exploitation avec l’émulation de code et le préfiltrage par moteur antivirus.

Neutralisation proactive et protection des terminaux

La technologie Sandbox peut détecter les menaces, mais leur blocage efficace repose plutôt sur une gestion renforcée des
menaces réseau ou sur des appliances de Firewall. Si une activité malveillante est découverte, les appliances de gestion unifiée
des menaces (UTM) et le système de protection avancée contre les menaces (ATP) basé sur les Firewalls de Nouvelle Génération
(NGFW) sont capables de la bloquer.

FortiGate et les autres produits Fortinet sont conçus pour neutraliser les menaces avancées dans le cadre d’une première ligne de
défense au niveau du périmètre et du cœur. La technologie proactive utilisée permet de détecter les attaques en temps réel et de
les contrecarrer avant qu’elles ne deviennent nuisibles. FortiSandbox est une extension de la solution UTM/NGFW de référence
proposée par Fortinet, qui renvoie à FortiGate et/ou FortiGuard les informations de sécurité qu’elle recueille. Les nouvelles attaques
perpétrées par des menaces découvertes par FortiSandbox peuvent être bloquées dans le cadre de la première ligne de défense
alors que le cycle de vie se poursuit.

Conclusion
Toutes les formes de technologies de sécurité sont en réalité connues des créateurs de logiciels malveillants. Certains d’entre eux
conçoivent donc des camouflages et utilisent des techniques avancées de contournement. La détection se résume à inspecter
le plus grand nombre de couches possibles par tous les angles potentiels d’attaque. La meilleure approche consiste alors à
combiner une inspection basée sur la passerelle et le système de Sandbox.

Le système de Sandbox fournit un niveau de défense supplémentaire utile dans le paysage actuel des menaces. Utilisé correctement,
c’est un formidable outil d’apprentissage. Et lorsqu’il est associé au dispositif de sécurité de la passerelle, il permet d’identifier
rapidement toute nouvelle activité malveillante sur le réseau et de réagir plus facilement aux incidents. La capacité d’intégration entre
ces appliances est essentielle. FortiGuard Labs détecte fréquemment des techniques de contournement émergentes et les surveille,
ce qui permet d’envoyer rapidement aux solutions Fortinet des informations et des mises à jour pour les contrecarrer. Fortinet prend
actuellement en charge l’intégration de FortiSandbox avec les appliances de sécurité FortiGate, FortiManager et FortiMail.

7
www.fortinet.com ou
www.fortinet.fr
France SIÈGE SOCIAL MONDIAL SUCCURSALE EMEA SUCCURSALE APAC SUCCURSALE AMÉRIQUE LATINE
TOUR ATLANTIQUE Fortinet Inc. 120, rue Albert Caquot 300 Beach Road 20-01 Prol. Paseo de la Reforma 115 Int. 702
11ème étage, 1 place de la Pyramide 899 Kifer Road 06560, Sophia Antipolis, The Concourse Col. Lomas de Santa Fe,
92911 Paris La Défense Cedex Sunnyvale, CA 94086 France Singapore 199555 C.P. 01219
France États-Unis Tél. : +33 (0)4 89 87 05 10 Tél. : +65 6513 3730 Del. Alvaro Obregón
Ventes: +33-1-8003-1655 Tél. : +1 408 235 7700 México D.F.
www.fortinet.com/sales Tél. : 011 52 (55) 5524 8480

Copyright © 2015 Fortinet, Inc. Tous droits réservés. Fortinet®, FortiGate®, FortiCare®, FortiGuard® et certaines autres marques sont des marques déposées de Fortinet, Inc., et les autres dénominations Fortinet mentionnées sont susceptibles
d’être également détenues par Fortinet. Toutes les autres marques appartiennent à leurs détenteurs respectifs. Les performances et autres mesures présentées dans ce document ont été évaluées dans un laboratoire interne et dans des
conditions optimales. Elles peuvent varier en conditions réelles. Les variations réseau, la diversité des environnements réseau et d’autres éléments sont susceptibles d’affecter ces performances. Rien dans le présent document ne tient lieu
d’autorisation formelle de la part de Fortinet, et Fortinet s’exonère de toute garantie sur le contenu de ce document, implicite ou explicite, sauf si cette garantie résulte d’une obligation contractuelle, signée par le Directeur des affaires juridiques
de Fortinet, avec un acheteur, avec mention expresse de la garantie que le produit respecte les performances et spécifications indiquées dans ce document et, dans un tel cas, que seules les performances et spécifications indiquées dans le
cadre de cette obligation contractuelle engagent Fortinet. Pour éviter toute confusion, une telle garantie ne s’appliquera que si les performances sont évaluées dans des conditions aussi optimales que celles des laboratoires de tests de Fortinet.
Fortinet décline toute responsabilité concernant les clauses, représentations et garanties, explicites ou implicites, définies en vertu du présent document. Fortinet se réserve le droit de changer, modifier, transférer ou réviser de quelque manière
que ce soit cette publication sans avis préalable. La version anglaise la plus récente de ce document fait foi, en cas d’erreur de traduction notamment.