{"id":25153,"date":"2024-09-12T09:05:41","date_gmt":"2024-09-12T17:05:41","guid":{"rendered":"http:\/\/www.palada.net\/index.php\/2024\/09\/12\/news-18883\/"},"modified":"2024-09-12T09:05:41","modified_gmt":"2024-09-12T17:05:41","slug":"news-18883","status":"publish","type":"post","link":"https:\/\/www.palada.net\/index.php\/2024\/09\/12\/news-18883\/","title":{"rendered":"Sophos Endpoint : mises \u00e0 jour de contenu et architecture du produit"},"content":{"rendered":"

Credit to Author: Nicolas Pommier| Date: Mon, 26 Aug 2024 17:33:00 +0000<\/strong><\/p>\n

\n

Suite \u00e0 notre r\u00e9cent article sur les pilotes du noyau de Sophos Intercept X<\/a>, dans lequel nous expliquions comment ils \u00e9taient test\u00e9s et ce qu’ils faisaient exactement, nous apportons davantage de transparence sur le fonctionnement interne d’Intercept X, cette fois-ci en examinant les mises \u00e0 jour de contenu<\/em> qui sont soit des modifications de configuration entra\u00eenant des changements au niveau des chemins d’ex\u00e9cution du code, soit du code \u00e0 proprement parler.<\/p>\n

Intercept X<\/a> utilise une combinaison de recherches (lookups<\/em>) dans le Cloud en temps r\u00e9el et de mises \u00e0 jour de contenu<\/em> sur l’appareil. \u00c9tant donn\u00e9 que le paysage des menaces \u00e9volue et change constamment, il est essentiel que les mises \u00e0 jour de contenu<\/em> sur les appareils soient fournies fr\u00e9quemment (certaines donn\u00e9es sur les appareils changent moins fr\u00e9quemment, mais peuvent n\u00e9cessiter des mises \u00e0 jour dans des d\u00e9lais courts). N\u00e9anmoins, cette m\u00e9thode comporte des risques : en effet, si les mises \u00e0 jour de contenu<\/strong> sont corrompues<\/strong> ou invalides<\/strong>, alors une telle situation pourrait entra\u00eener des perturbations.<\/p>\n

Sophos utilise un m\u00e9canisme classique pour diffuser les mises \u00e0 jour de contenu<\/em> sur l’appareil, qui sont charg\u00e9es dans des processus au niveau de l’espace utilisateur Sophos \u00e0 faible privil\u00e8ge (plut\u00f4t que d’\u00eatre charg\u00e9es ou interpr\u00e9t\u00e9es par les pilotes du noyau Sophos) \u00e0 partir du CDN (Content Distribution Network<\/em>) de Sophos. Les mises \u00e0 jour de contenu<\/em> constituent l’un des trois composants principaux d’Intercept X, avec les logiciels du CDN, la politique et la configuration de Sophos Central.<\/p>\n

Dans cet article, nous explorerons les diff\u00e9rents types de mise \u00e0 jour de contenu que nous utilisons, comment nous les v\u00e9rifions et les validons, et nous d\u00e9taillerons aussi l’architecture de l’\u00e9cosyst\u00e8me qui permet d’\u00e9viter les probl\u00e8mes caus\u00e9s par un contenu corrompu ou d\u00e9fectueux (comme nous l’avons not\u00e9 dans notre article pr\u00e9c\u00e9dent, Intercept X [et tous ses composants] fait \u00e9galement partie d’un programme externe bug bounty<\/a> depuis le 14 d\u00e9cembre 2017).<\/p>\n

Il convient de noter que les d\u00e9tails contenus dans cet article sont corrects au moment de l\u2019\u00e9criture de ces lignes (ao\u00fbt 2024), mais pourraient changer \u00e0 mesure que nous continuons \u00e0 mettre \u00e0 jour et \u00e0 d\u00e9velopper des solutions.<\/p>\n

D\u00e9ploiement des mises \u00e0 jour de contenu \u00e9tape par \u00e9tape<\/h2>\n

Sophos propose de nouvelles mises \u00e0 jour de contenu<\/em> aux clients via des “groupes de version”. Chaque entit\u00e9 (tenant<\/em>) Sophos Central est affect\u00e9 \u00e0 un groupe de version.<\/p>\n

Le premier groupe de version est destin\u00e9 aux tests d’ing\u00e9nierie internes ; nous ne lui affectons aucun client en termes de production. Cette approche permet \u00e0 nos \u00e9quipes d’ing\u00e9nierie de tester de nouvelles mises \u00e0 jour de contenu<\/em> au niveau de l’infrastructure de production, sans aucune \u00e9tape manuelle. Si les tests \u00e9chouent, nous abandonnons la version sans passer \u00e0 d’autres groupes de version.<\/p>\n

Si la qualification au mati\u00e8re d\u2019ing\u00e9nierie r\u00e9ussit, alors nous diffusons manuellement la version au niveau du groupe de version “Sophos internal<\/em>” (“dogfooding<\/em>“). Cette approche inclut les appareils de production des employ\u00e9s de Sophos, ainsi que les comptes personnels des employ\u00e9s. Encore une fois, si des probl\u00e8mes sont d\u00e9tect\u00e9s ou signal\u00e9s, nous abandonnons la version et ne poursuivons pas plus loin.<\/p>\n

Si tout va bien, nous diffusons ensuite manuellement la version aupr\u00e8s des groupes de version publique. \u00c0 partir de ce moment-l\u00e0, les syst\u00e8mes de version Sophos publient automatiquement la nouvelle mise \u00e0 jour de contenu au niveau de tous les groupes de version sur une p\u00e9riode de plusieurs heures ou jours par d\u00e9faut (voir Figure 1 ci-dessous).<\/p>\n

\"mises<\/a><\/p>\n

Figure\u00a01\u00a0: Phases de diffusion, avec des v\u00e9rifications \u00e0 chaque phase<\/em><\/p>\n

T\u00e9l\u00e9chargement des donn\u00e9es : Sophos AutoUpdate<\/h2>\n

Sophos AutoUpdate<\/em>, qui fait partie d’Intercept X, v\u00e9rifie les nouvelles mises \u00e0 jour de contenu<\/em> toutes les heures, bien qu’en pratique les mises \u00e0 jour soient moins fr\u00e9quentes (voir tableau ci-dessous).<\/p>\n

Sophos AutoUpdate<\/em> t\u00e9l\u00e9charge chaque mise \u00e0 jour de contenu \u00e0 partir du CDN et v\u00e9rifie si de nouveaux packages de mise \u00e0 jour de contenu sont disponibles pour le groupe de version appropri\u00e9.<\/p>\n

Les mises \u00e0 jour de contenu<\/em> sont horodat\u00e9es et sign\u00e9es \u00e0 l’aide de la fonction de hachage SHA-384 et d’une cha\u00eene de certificat Sophos priv\u00e9e. Sophos AutoUpdate<\/em> v\u00e9rifie les mises \u00e0 jour t\u00e9l\u00e9charg\u00e9es. S\u2019il d\u00e9tecte des mises \u00e0 jour corrompues ou non fiables, il les supprime et avertit Sophos ainsi que l\u2019administrateur de Sophos Central. De plus, pour vous prot\u00e9ger contre les caches CDN obsol\u00e8tes ou les attaques par relecture (replay<\/em>) malveillantes, Sophos AutoUpdate<\/em> rejette toute mise \u00e0 jour, pourtant valide, si l’horodatage de la signature est plus ancien que la mise \u00e0 jour d\u00e9j\u00e0 t\u00e9l\u00e9charg\u00e9e.<\/p>\n

Si un nouveau package de mise \u00e0 jour de contenu est disponible, Sophos AutoUpdate<\/em> le t\u00e9l\u00e9charge et l’installe \u00e0 l’aide du programme d’installation du package appropri\u00e9. Diff\u00e9rentes mises \u00e0 jour sont g\u00e9r\u00e9es par diff\u00e9rents composants d’Intercept X.<\/p>\n

Aper\u00e7u des mises \u00e0 jour de contenu<\/h2>\n

Les mises \u00e0 jour de contenu<\/em> suivantes font partie de la derni\u00e8re version d’Intercept X (2042.2).<\/p>\n

\"mises<\/a><\/p>\n

Tableau 1 : Un aper\u00e7u des mises \u00e0 jour de contenu qui font partie de la derni\u00e8re version d’Intercept X (2024.2).<\/em><\/p>\n

\"mises<\/a><\/p>\n

Figure\u00a02\u00a0: Un diagramme illustrant les processus Sophos (indiqu\u00e9s en bleu marine) qui chargent des mises \u00e0 jour de contenu sp\u00e9cifiques (indiqu\u00e9es en violet).<\/em><\/p>\n

DatasetA<\/h3>\n

DatasetA<\/strong> est charg\u00e9 par SophosFileScanner.exe<\/em>, un processus \u00e0 faible privil\u00e8ge, sans acc\u00e8s au syst\u00e8me de fichiers (\u00e0 part son dossier de log et un r\u00e9pertoire temporaire utilis\u00e9 pour analyser les objets volumineux). Il charge l’interface SAVI (Sophos Anti-Virus Interface<\/em>).<\/p>\n

SophosFileScanner.exe<\/em> analyse le contenu suite aux demandes d’analyse provenant d’autres processus Sophos. Bien qu’il s’appelle “SophosFileScanner.exe<\/em>“, le nom est quelque peu historique : en effet, il s’agit du principal scanner de contenu d’Intercept X, analysant les fichiers, la m\u00e9moire des processus, le trafic r\u00e9seau, etc.<\/p>\n

LocalRepData<\/h3>\n

LocalRepData<\/strong> contient deux listes de r\u00e9putation :<\/p>\n

    \n
  1. R\u00e9putation par la fonction de hachage SHA-256.<\/li>\n
  2. R\u00e9putation par signataire.<\/li>\n<\/ol>\n

    Lorsqu’un ex\u00e9cutable Windows lance son ex\u00e9cution, Intercept X le recherche dans LocalRepData<\/strong> par son hachage SHA-256 et sa signature (en supposant que ce dernier soit valablement sign\u00e9). Si la r\u00e9putation est fournie par LocalRepData<\/strong>, Intercept X “identifie\u00a0(tag)<\/em>” le processus avec la r\u00e9putation appropri\u00e9e (les r\u00e8gles Sophos traitent diff\u00e9remment les fichiers et les processus de haute r\u00e9putation, par exemple, en les exemptant de nettoyage).<\/p>\n

    SSPService.exe<\/em> utilise LocalRepData<\/strong> pour attribuer une r\u00e9putation lors du lancement des processus.<\/p>\n

    SophosFileScanner.exe<\/em> charge \u00e9galement LocalRepData<\/strong>, afin de pouvoir attribuer une r\u00e9putation aux flux ex\u00e9cutables int\u00e9gr\u00e9s qu’il d\u00e9couvre dans le contenu et qui ne concernent pas les fichiers ex\u00e9cut\u00e9s.<\/p>\n

    Comportements<\/h3>\n

    Les r\u00e8gles de comportement sont charg\u00e9es par SSPService.exe<\/em>. Les fichiers de r\u00e8gle contiennent du code Lua<\/strong> sign\u00e9 et chiffr\u00e9. SSPService.exe<\/em> v\u00e9rifie, d\u00e9chiffre et charge les r\u00e8gles dans un interpr\u00e9teur LuaJIT<\/strong> sandbox\u00e9 avec un acc\u00e8s uniquement aux API internes de Sophos.<\/p>\n

    Lua<\/a> est un langage de script rapide et int\u00e9gr\u00e9. Sophos utilise Lua<\/strong> pour les r\u00e8gles de comportement car il offre un moyen flexible de fournir de nouvelles d\u00e9tections de comportement sans avoir besoin d’une nouvelle version logicielle, tout en pr\u00e9servant la s\u00e9curit\u00e9. Les r\u00e8gles sont charg\u00e9es dans l’espace utilisateur et ne peuvent donc pas provoquer une panne critique du syst\u00e8me si elles se comportent de mani\u00e8re malveillante. De plus, Sophos construit son moteur de r\u00e8gles sans les biblioth\u00e8ques de base Lua<\/strong> : le seul acc\u00e8s au syst\u00e8me se fait via l’API interne de Sophos, qui est renforc\u00e9e contre toute utilisation abusive accidentelle des r\u00e8gles de comportement. Sophos collecte des donn\u00e9es t\u00e9l\u00e9m\u00e9triques approfondies sur les temps d’ex\u00e9cution (runtime<\/em>) des r\u00e8gles, et ajuste\/r\u00e9duit en permanence la surcharge d’ex\u00e9cution.<\/p>\n

    Les r\u00e8gles sont de v\u00e9ritables moteurs : Intercept X fournit divers \u00e9v\u00e9nements et des gestionnaires d’enregistrement de r\u00e8gle pour ces \u00e9v\u00e9nements. Les r\u00e8gles peuvent \u00e9galement configurer divers param\u00e8tres d’agr\u00e9gation pour certains \u00e9v\u00e9nements \u00e0 volume \u00e9lev\u00e9, permettant aux capteurs de fusionner ou d’ignorer certains \u00e9v\u00e9nements.<\/p>\n

    Indicateurs<\/h3>\n

    Les indicateurs sont le moyen par lequel Sophos active progressivement de nouvelles fonctionnalit\u00e9s dans Intercept X. Ces derniers sont fournis de deux mani\u00e8res diff\u00e9rentes :<\/p>\n

      \n
    1. Les Alertes Compl\u00e9mentaires<\/strong> (Flags Supplement<\/em>) contiennent un ensemble de base compos\u00e9 d’indicateurs correspondant aux fonctionnalit\u00e9s disponibles dans le logiciel.<\/li>\n
    2. Le Service des Alertes<\/strong> (Flags Service<\/em>) est un microservice de Sophos Central qui permet aux ing\u00e9nieurs en charge des versions de Sophos de configurer des indicateurs au niveau de plusieurs entit\u00e9s (tenants<\/em>).<\/li>\n<\/ol>\n

      Les alertes compl\u00e9mentaires (Flags Supplement<\/em>) pour une version logicielle donn\u00e9e contient un ensemble d’indicateurs de fonctionnalit\u00e9 et indique comment cette derni\u00e8re doit \u00eatre activ\u00e9e :<\/p>\n

       <\/p>\n

      Ce m\u00e9canisme offre \u00e0 Sophos plusieurs possibilit\u00e9s pour activer et d\u00e9sactiver des fonctionnalit\u00e9s :<\/p>\n