Cybersécurité : comment l’EDR peut être contourné

Les systèmes de détection et de réponse sur les serveurs et postes de travail font chaque jour un peu plus la démonstration de leur efficacité. Mais ils n’en sont pas pour autant infaillibles.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Information Sécurité: Information Sécurité 25 - Les bénéfices concrets de l’EDR

C’était début 2022, quelques jours après le début de l’invasion de l’Ukraine par la Russie : une personne très proche du gang rendait publiques les archives d’échanges privés des membres de Conti depuis début 2020, et même des fichiers datant de 2016, sans compter du code source à profusion ou des captures d’écran des outils du gang, à commencer par son système de contrôle à distance de systèmes compromis, Bazar Loader.

Une pratique répandue…

L’analyse de ces données a permis d’en apprendre beaucoup sur l’organisation interne de ce qui s’est révélé être une véritable PME de la cybercriminalité. À la clé, une révélation remarquable : début 2021, Conti cherchait à acquérir des licences de l’EDR de Carbon Black. Le but ? Apprendre à passer au travers des mailles de ses filets. Le cas n’est pas isolé.

Dans un billet de blog publié début octobre 2022, Andreas Klopsch, chercheur en menaces chez Sophos, détaillait une nouvelle tactique d’évasion employée par les attaquants déployant le ransomware BlackByte : elle désactive les outils de détection et de réponse sur les hôtes (EDR, Endpoint Detection and Response) en exploitant une vulnérabilité connue d’élévation de privilèges et d’exécution de code dans un pilote appelé RTCore64.sys. Ce pilote vidéo est utilisé par MSI AfterBurner 4.6.2.15658 de Micro-Star, un outil d’overclocking qui donne aux utilisateurs un contrôle étendu sur les cartes graphiques.

Début novembre 2022, c’était au tour de SentinelOne d’expliquer comment les affidés de Black Basta contournent les EDR, avec un outil développé depuis le printemps de la même année par le groupe FIN7. Ce dernier s’est mis à le vendre à d’autres cybercriminels, y compris des gangs de ransomwares, donc.

En mai 2024, des acteurs malveillants ont tenté d’utiliser un outil baptisé EDRKillShifter pour désactiver les outils de protection, signés Sophos, présents sur un hôte. L’éditeur indique que l’outil a échoué à sa tâche. Il fonctionne en exploitant des pilotes vulnérables pour obtenir des privilèges et désactiver les protections de sécurité. Bien que l’attaque ait échoué, l’analyse postérieure a révélé la complexité croissante des techniques employées pour contourner les systèmes de défense. Dans ce cas, c’est RansomHub qui était impliqué.

… Qui fait l’objet de nombreuses recherches

Si les attaquants s’emploient à contourner les mécanismes de détection des EDR, le sujet se doit d’être traité par les chercheurs en sécurité. Et cela que ce soit pour entraîner les équipes en charge de la sécurité opérationnelle, via des exercices de type red team/blue team, ou pour apprendre à améliorer les mécanismes de protection existants.

Le Britannique MDSec publiait ainsi, début 2019, une façon de contourner l’EDR de Cylance – qui venait d’être racheté par BlackBerry. Mais les techniques disponibles et connues à ce jour sont bien plus nombreuses qu’il n’y paraît.

Fabian Mosch, spécialiste de la sécurité offensive, a publié un inventaire – très technique – de ces méthodes, fin janvier 2021. Au printemps 2022, c’était au tour de Vincent Van Mieghem, de Prosus Group, détaillant une dizaine de pratiques. Le groupe CMEPW – qui compte au moins deux experts d’Orange Cyberdefense – en a publié une impressionnante cartographie.

Des outils prêts à l’emploi ont même été développés et sont partagés sur GitHub, à l’instar d’EDRSandblast, signé Thomas Diot et Maxime Meignan, de Wavestone. Il faut également compter, notamment, avec Inceptor, de Porchetta Industries.

Article initialement publié le 16 mai 2023, mis à jour le 9 août 2024, puis le 16 août 2024.

Pour approfondir sur Protection du terminal et EDR