Les tueurs EDR sont des outils malveillants qui désactivent le logiciel EDR des systèmes compromis. Cela les rend vulnérables à de nouvelles menaces. Le danger des tueurs EDR augmente considérablement. Le BSI l'a déjà souligné en 2024. Un expert en sécurité donne des conseils sur la manière dont les entreprises peuvent se protéger au mieux.
Les acteurs de la menace dans le paysage actuel de la cybersécurité évoluent constamment, à la recherche de nouvelles façons de pénétrer les organisations en utilisant des outils et des techniques de plus en plus sophistiqués. Ce jeu constant du chat et de la souris a donné naissance à des tueurs de détection et de réponse aux points de terminaison (EDR), qui, combinés à l’émergence de nouvelles variantes de ransomwares et au changement de marque des plus anciennes, sont devenus une menace importante.
L’année dernière, le BSI a émis un avertissement fort sur cette menace dans son rapport sur la situation de la sécurité informatique. L'agence a résumé la situation de la menace comme suit : « L'objectif de ces logiciels est d'utiliser des signatures et des heuristiques comportementales pour détecter des anomalies lors du fonctionnement du système, par exemple pour déterminer si un programme exécuté se comporte de manière malveillante. Les attaquants utilisent diverses méthodes pour échapper à la détection des antivirus ou des logiciels EDR. Les tueurs EDR sont des outils conçus pour éliminer et, si possible, supprimer le logiciel EDR installé sur un système compromis. »
Les tueurs EDR sont une catégorie sophistiquée de logiciels malveillants conçus pour compromettre et compromettre les systèmes de sécurité EDR. Grâce à une combinaison de techniques avancées et d’outils spécialisés, les acteurs de la menace utilisent ce malware pour neutraliser ou compromettre systématiquement les infrastructures de sécurité critiques, laissant les systèmes vulnérables à de nouvelles attaques.
Apportez votre propre conducteur vulnérable (BYOVD)
Une technique d'attaque répandue est ce qu'on appelle le « Bring Your Own Vulnerable Driver » (BYOVD). Les acteurs malveillants exploitent souvent les pilotes pour manipuler les systèmes d’exploitation à des fins de contrôle non autorisé et à des fins malveillantes. Un pilote est un pont logiciel important qui permet la communication entre le système d’exploitation et les périphériques matériels. Au lieu de permettre aux applications d'interagir directement avec les composants matériels, le système d'exploitation gère ces interactions via des requêtes médiatisées par le pilote, garantissant ainsi un accès contrôlé et standardisé aux périphériques. Avec BYOVD, les attaquants tentent d'exploiter les vulnérabilités connues des pilotes de périphériques légitimes mais obsolètes ou non sécurisés en les installant sur le système cible pour augmenter leurs privilèges et contourner les protections EDR.
Exploitation de la plateforme de filtrage Windows (WFP)
Une autre stratégie consiste à abuser de la plateforme de filtrage Windows (WFP), un ensemble d’API et de services permettant de créer des applications de filtrage et de sécurité réseau. En obstruant ou en redirigeant le trafic lié à l’EDR, les attaquants peuvent perturber le flux de télémétrie ou d’alertes vers la console de gestion EDR. Par exemple, EDRSilencer utilise WFP pour bloquer les communications sortantes sur les protocoles IPv4 et IPv6, réduisant ainsi efficacement au silence les systèmes EDR.
Désactivation du voyant de processus protégé (PPL) pour contourner l'EDR
Protected Process Light (PPL) est une fonctionnalité de sécurité Windows importante introduite dans Windows 8.1 pour protéger les processus système importants contre toute altération ou interruption. Ce mécanisme protège les services sensibles tels que les solutions antivirus et les systèmes EDR contre les interventions non autorisées. Cependant, les attaquants ont développé des méthodes pour atténuer le PPL et ainsi compromettre ses fonctions de protection. Une fois la protection PPL compromise, les attaquants peuvent facilement mettre fin aux processus EDR ou accéder à des zones de mémoire sensibles telles que LSASS pour extraire des informations d'identification.
Les tueurs EDR découplent NTDLL
Les systèmes EDR s'appuient fortement sur le mode utilisateur pour surveiller et intercepter les comportements malveillants. Un domaine critique ciblé par les EDR est la bibliothèque ntdll.dll, qui relie les applications en mode utilisateur et le noyau Windows. En connectant des fonctions à ntdll.dll, les EDR peuvent observer et analyser les appels système d'application et identifier les menaces potentielles telles que les injections de processus, la falsification de fichiers ou les vidages de mémoire. Ce mécanisme d’accrochage est important pour détecter et atténuer les activités suspectes en temps réel. Cependant, les attaquants ont développé des techniques pour supprimer ces hooks, le décrochage NTDLL étant une méthode bien connue. Le décrochage ramène les fonctions de la bibliothèque ntdll.dll à leur état d'origine, décroché, supprimant ainsi efficacement la capacité de l'EDR à surveiller ces appels.
Appels système directs et indirects
Les appels système sont l'interface par laquelle les applications en mode utilisateur interagissent avec le noyau Windows, permettant des opérations telles que l'accès aux fichiers et la gestion des processus. Les systèmes EDR surveillent ces appels système en connectant des fonctions à des bibliothèques telles que ntdll.dll pour détecter des activités suspectes telles que des vidages de mémoire ou des accès non autorisés aux fichiers.
Les attaquants contournent la surveillance EDR via des appels système directs et indirects. Dans le premier cas, les attaquants appellent les appels système directement dans le noyau, contournant les bibliothèques en mode utilisateur telles que ntdll.dll, contournant ainsi les hooks EDR. Avec les appels système indirects, les attaquants utilisent moins de modules standard ou non surveillés pour les exécuter, échappant ainsi davantage à la détection.
Bien que ces techniques ne visent pas à désactiver les EDR, elles permettent aux attaquants de contourner la surveillance des appels système, d'échapper à la détection et d'effectuer des actions malveillantes sans déclencher d'alarmes.
Recommandations d'action pour lutter contre les tueurs d'EDR
- Les entreprises doivent mettre en œuvre une stratégie de sécurité des conducteurs robuste qui comprend une surveillance des conducteurs en temps réel, une vérification de la signature numérique, des mises à jour régulières et une liste d’approbation stricte des conducteurs pour empêcher l’exploitation des conducteurs vulnérables.
- Zero Trust garantit que même si les systèmes EDR sont compromis, les attaquants ne peuvent pas obtenir un accès illimité en appliquant une vérification d'identité stricte et les principes du moindre privilège.
- Une stratégie de défense en profondeur intègre EDR, pare-feu, NDR, antivirus et analyse comportementale pour garantir une sécurité complète même si une couche est violée.
- Pour garantir une récupération rapide après une attaque, des protocoles de réponse aux incidents clairs, des tests réguliers et des systèmes de sauvegarde isolés doivent être établis.
- Il est également important que la protection anti-falsification soit activée sur les appareils finaux. L’audit régulier des paramètres de sécurité et leur surveillance pour détecter les modifications non autorisées empêchent les attaquants de désactiver les contrôles de sécurité.
- Driver Signature Enforcement (DSE) garantit que seuls les pilotes signés par Microsoft sont installés et empêche les pilotes malveillants ou non signés de s'exécuter sur le système.
- La segmentation et la microsegmentation du réseau isolent les systèmes critiques, limitent les mouvements latéraux des attaquants et appliquent des politiques d'accès strictes avec le contrôle d'accès au réseau (NAC).
- La sensibilisation des utilisateurs aux risques liés aux privilèges élevés et l’application de contrôles d’accès au moindre privilège empêchent les attaquants d’exploiter les privilèges administratifs pour compromettre les mesures de sécurité.
- Des mises à jour régulières des systèmes, des pilotes et des logiciels, ainsi que des analyses de vulnérabilité, corrigent les failles de sécurité et réduisent le risque d’exploitation par les attaquants.
Conclusion
L’émergence des tueurs EDR pose un défi critique à la cybersécurité des entreprises, car ces outils ciblent et désactivent spécifiquement les systèmes EDR, ce qui entraîne des vulnérabilités de sécurité aveugles. Pour se protéger contre ces menaces, les entreprises doivent mettre en œuvre des architectures de sécurité multicouches, appliquer des signatures de pilotes strictes et mettre à jour leurs systèmes régulièrement. Le maintien de la sécurité nécessite des mises à jour continues des outils de sécurité et des stratégies de réponse aux incidents afin que les organisations puissent lutter efficacement contre ces techniques d’évasion sophistiquées. En mettant en œuvre ces mesures, les entreprises peuvent réduire considérablement le risque de failles de sécurité, selon Bibek Thapa Magar et Ujwal Thapa, tous deux chercheurs en sécurité chez Logpoint.
Plus sur Logpoint.com
À propos de Logpoint
Logpoint protège la société dans un monde numérique en aidant les clients et les fournisseurs de services de sécurité gérés (MSSP) à détecter les cyberattaques. En combinant une technologie fiable avec une compréhension approfondie des défis de cybersécurité, Logpoint simplifie les opérations de sécurité et donne aux entreprises la liberté d'évoluer. Les technologies SIEM et NDR de Logpoint améliorent la visibilité et fournissent une approche à plusieurs niveaux de la cybersécurité, aidant ainsi les clients et les MSSP en Europe à naviguer dans le paysage complexe des menaces.
Articles liés au sujet