Une enquête récente de Huntress a révélé une manœuvre qui sonne comme déjà vu pour quiconque suit la sécurité dans Windows, mais qui continue à fonctionner dans le monde réel : des acteurs malveillants ont profité d'un vieux pilote légitime EnCase pour créer un « tueur EDR » capable d'identifier et d'éteindre des dizaines d'outils de sécurité dans les équipes infectées.
Avant d'entrer dans les détails, vous devriez vous souvenir de ce qu'est un tueur d'EDR. Il s'agit d'un programme malveillant spécifiquement conçu pour désactiver ou éviter les solutions de réponse et de détection. Ils fonctionnent généralement avec les privilèges du noyau car, à partir de là, ils peuvent défaire les mécanismes de protection et terminer les processus de sécurité qui en mode utilisateur seraient inaccessibles. Dans ce cas particulier, les chercheurs Chasseur Ils ont vu comment la pièce malveillante était déguisée en firmware update utilitaire et ont chargé un vieux pilote appelé EnPortv.sys, appartenant à EnCase (produit de recherche forensique maintenant dans OpenText).
La technique utilisée n'est pas nouvelle et a un nom: "Apportez votre propre conducteur vulnérable" ou BYOVD. Au lieu de chercher une explosion dans le noyau actuel, les attaquants introduisent un pilote légalement signé mais vulnérable - ou avec des fonctions qui permettent l'abus - et l'utilisent pour exécuter des opérations en mode noyau. Les groupes de malware et les échantillons ont exploité BYOVD à plusieurs reprises; les anciennes signatures, les comportements de signature des pilotes et les exceptions dans les politiques de Microsoft ont rendu cette approche encore efficace. Pour comprendre la technique plus en profondeur, il est utile de lire des analyses et des pièces de fond sur BYOVD, comme l'article ESET sur le sujet Voilà..
Dans l'intrusion décrite par Huntress, l'accès initial a été obtenu par des identifiants commis d'un VPN SSL SonicWall, et le compte n'avait pas d'authentification multi-facteurs. Après l'accès, les attaquants ont effectué une enquête interne intense - Pings ICMP, NetBIOS, activité SMB et rafales TCP de type SYN - et, selon les chercheurs, l'acteur avait probablement l'intention de déployer l'ansomware bien que la campagne ait été interrompue avant de libérer la charge finale. L'affaire met en évidence une vérité opérationnelle : l'absence de MFA et la mauvaise surveillance des enregistrements VPN sont des portes d'entrée communes pour les intrus. Microsoft a documenté à plusieurs reprises l'efficacité de MFA dans la réduction des engagements; par exemple, son blog de sécurité décrit comment MFA bloque la grande majorité des tentatives de responsabilisation Voilà..
Le vecteur technique central était le pilote EnPortv.sys, un composant d'EnCase. Bien que son certificat numérique ait été délivré en 2006, ait expiré en 2010 et ait été révoqué, Windows a continué d'autoriser son chargement pour une mise en œuvre détaillée du mécanisme de signature du conducteur: le contrôle est basé sur la vérification cryptographique et les timbres-temps, pas une consultation en temps réel des listes de révocation (LCR) pour tous les cas, et il y a également une exception qui s'applique aux certificats délivrés avant le 29 juillet 2015. Cette exception, ainsi que les différentes politiques de signature historiques, a ouvert la porte afin que le conducteur puisse être installé et enregistré comme un faux service matériel d'OEM, obtenant la persistance résistante à la remise en route.
Une fois dans le noyau, les logiciels malveillants ont utilisé l'interface du pilote IOCTL pour commander au système d'achever les processus de service de sécurité, en évitant les protections comme Protected Process Light (PPL). Selon Huntress l'échantillon est livré avec une liste de 59 processus cibles - entre les agents EDR et antivirus - et exécute une boucle d'achèvement toutes les secondes, de sorte que si un processus protégé redémarre, le tueur tue à nouveau instantanément. Cette combinaison de la persistance au niveau du noyau et de la capacité de manipuler les processus du système en fait une menace critique pour les environnements avec des contrôles traditionnels axés sur les EDR.
Si vous voulez lire l'analyse technique, le rapport Huntress décrit le flux complet, les indicateurs et les mécanismes de persistance Voilà.. Le communiqué de presse public et la couverture supplémentaire, Calculateur Ils aident à mettre l'incident dans l'image plus large de l'abus de conducteur signé.
Que peut faire une équipe de sécurité pour réduire ce type de risque? Premièrement, nous devons attaquer la cause la plus directe de l'accès : les comptes d'accès à distance. Activer MFA dans tous les accès à distance, surveiller les journaux VPN et limiter les privilèges de compte sont des étapes qui arrêtent souvent les premiers progrès de ces campagnes. Deuxièmement, il convient de profiter de l'atténuation que Microsoft offre pour les pilotes et l'isolation du noyau: permettre HVCI / Intégrité de la mémoire (partie de l'"isolation de base" dans Windows) aide à appliquer la liste des pilotes vulnérables bloqués par Microsoft; la documentation technique de Virtualization-based Security et HVCI fournit un contexte sur la façon dont cet isolement fonctionne. Voilà. et le guide de Microsoft sur Windows Defender Application Control (WDAC) explique comment contrôler quels binaires et pilotes sont autorisés dans une flotte Voilà..
En plus de HVCI et de WDCA, il existe des règles et des contrôles dans les solutions de sécurité modernes conçues pour réduire l'exposition aux conducteurs signés qui ont été révoqués ou défectueux. Implémenter les règles de réduction de surface d'attaque (ASR), surveiller la création de services de noyau qui passent par OEM / matériel et bloquer les signatures problématiques connues sont des mesures que Huntress recommande également. La documentation ASR dans Microsoft Defender for Endpoint est un bon point de départ pour les équipes de gestion d'environnement Windows Voilà..
Ce n'est pas seulement une question de technologie : la détection précoce des mouvements horizontaux et l'intelligence au sujet des activités inhabituelles dans le réseau interne sont critiques. Dans le cas analysé, les intrus ont effectué des enquêtes ICMP, NetBIOS et du trafic bruyant SMB; la surveillance de ces tendances et l'alerte aux éclatements anormaux - tels que les taux élevés de SYN - peuvent interrompre une opération avant que l'acteur déploie ses outils de persistance. Il est également important de préparer des réponses qui comprennent l'isolement des segments touchés et l'examen médico-légal des titres de compétence exposés.
Pour les équipes qui gèrent des solutions médico-légales ou utilisent des outils tiers signés il y a des années, il convient d'examiner l'inventaire et la télémétrie : Quels sont les pilotes avec de vieilles signatures déployés dans votre parc? Est-ce que les pilotes installés apparaissent qui sont enregistrés comme composants OEM et ne correspondent pas au matériel réel? Bloquer et examiner les pilotes signés avec des certificats délivrés il y a longtemps ou révoqués réduit la surface pour les attaques BYOVD. La politique de signature du pilote en mode noyau de Microsoft et les exceptions historiques sont documentées dans la documentation pour les développeurs et les signatures du pilote; lire que la réglementation aide à comprendre pourquoi les anciens certificats sont encore acceptés par certaines versions de Windows Voilà..
Cet incident met à nouveau une leçon importante sur la table : les défenses modernes nécessitent des couches. Ne compter que sur un EDR sans contrôle d'accès fort, sans isolation du noyau et sans politiques qui limitent les pilotes signés ne suffit pas. Un bon plan de défense combine des contrôles préventifs (AMF, signature du conducteur et politiques de blocage), la détection (télémétrie réseau et paramètres) et la réponse (procédures de découplage, contenant et analysant).
Si vous gérez l'infrastructure Windows, vérifiez d'abord les comptes avec accès à distance et forcez MFA. Il évalue ensuite la possibilité d'activer HVCI / Intégrité de la mémoire, de configurer WDAC / ASR en fonction de votre risque et d'auditionner la présence de pilotes signés historiquement dans vos équipes. Pour les détails techniques et les indicateurs d'engagement d'incident, voir le rapport de Huntress Voilà. et, pour le contexte BYOVD, la recherche ESET Voilà..
La bonne nouvelle est que les défenses existent et se renforcent. La mauvaise nouvelle est que la compatibilité historique, l'utilisation légitime d'outils de médecine légale ou de gestion et la complexité de l'écosystème conducteur continuent de créer des lacunes dont les agresseurs profitent. Une politique claire sur les conducteurs, une surveillance active et des contrôles d'accès robustes réduisent considérablement la possibilité qu'un acteur transforme une vulnérabilité historique en un incident dévastateur.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...