Les chercheurs révèlent comment les attaquants exploitent des essais gratuits d’outils de détection de terminaux pour désactiver les logiciels de sécurité existants, même avec une protection contre les sablées activées.
Les chercheurs en cybersécurité ont découvert un nouveau vecteur d’attaque troublant où les acteurs de la menace armement les essais gratuits de logiciels de détection et de réponse (EDR) pour désactiver les outils de sécurité existants – un phénomène qu’ils ont surnommé «Violence EDR-on-ERR».
Les chercheurs en sécurité Ezra Woods et Mike Manrod ont documenté un phénomène où les attaquants utilisent un produit de sécurité pour en désactiver systématiquement un autre. Leurs résultats, publiés dans un post moyen, montrent à quel point les cybercriminels peuvent transformer la confiance dans un logiciel de sécurité légitime contre les défenseurs d’entreprise.
« Il s’avère que l’une des façons de désactiver EDR est avec un essai gratuit de l’EDR », ont écrit les chercheurs, mettant en évidence la nature ironique de ce vecteur d’attaque émergent.
La technique exploite une hypothèse fondamentale dans la cybersécurité: que les outils de sécurité légitimes peuvent faire confiance. Selon les chercheurs, les attaquants s’inscrivent à des essais gratuits de produits EDR, les installent sur des systèmes compromis avec les privilèges d’administrateur local, puis configurent le logiciel de sécurité contrôlé par l’attaquant pour bloquer les outils de protection existants.
Dans leurs tests, Woods et Manrod ont constaté que Cisco Secure Tenpoint pouvait réussir à désactiver à la fois la crowdsstrike Falcon et Elastic Defend sans générer d’alertes ou de télémétrie à partir des systèmes ciblés. Les critères de terminaison compromis semblaient simplement être hors ligne, n’indiquant aucune indication aux équipes de sécurité que leur protection avait été délibérément sabotée.
« Ceci est accompli en supprimant les exclusions, puis en ajoutant le hachage de l’AV / EDR existant comme une application bloquée », ont expliqué les chercheurs dans leur analyse de la méthodologie d’attaque.
Plus que simple sabotage
La recherche a révélé des capacités qui s’étendent bien au-delà de la perturbation de base de l’EDR. Dans au moins un cas impliquant ESET, les chercheurs ont découvert qu’ils pouvaient installer une instance contrôlée par l’attaquant qui a détourné le contrôle de l’installation légitime. Certains produits EDR incluent également des fonctionnalités de gestion à distance similaires à celles trouvées dans les outils de surveillance et de gestion à distance, ouvrant des vecteurs d’attaque supplémentaires, y compris l’accès au shell de commande.
« Certains produits EDR ont des caractéristiques de type RMM, avec un large éventail de potentiels d’abus », a noté Woods et Manrod, avertissant que dans les cas extrêmes impliquant ESET, ils ont trouvé la capacité de contrôler le chiffrement complet du disque à travers l’interface compromise.
L’attaque contourne les fonctionnalités de protection de la protection spécialement conçues pour empêcher les modifications non autorisées des outils de sécurité.
« Ce qui rend ce vecteur intéressant, c’est qu’il peut désactiver au moins certains produits, même si la protection de la sténose est activée », a expliqué les chercheurs, notant que si l’attaque nécessite des privilèges d’administrateur local, cela représente une approche à faible complexité par rapport aux techniques d’évasion EDR traditionnelles comme apporter votre propre conducteur vulnérable (BYOVD) ou les techniques d’évasion d’Edr traditionnelles comme Bring Your Vulnerable Driver (BYOVD) Attaques ou DLL-Unharding.
Une tendance croissante
Cette abus d’EDR représente une évolution de l’exploitation légitime des outils que les équipes de sécurité voient à travers le paysage des menaces. Le rapport de chasse à la menace en crowdsstrike 2024 a documenté une augmentation de 70% d’une année à l’autre de la surveillance à distance et de l’abus d’outils de gestion, avec l’exploitation des outils RMM représentant 27% de toutes les intrusions de panneaux pratiques.
La recherche a été déclenchée par les observations d’un chercheur en sécurité connu sous le nom de Bushidotoken, qui a publié sur X sur les acteurs de la menace abusant activement de certains produits EDR et s’est demandé si cela devait devenir une sous-catégorie Att & CK à mitre. L’intelligence réelle suggère que la technique est déjà exploitée au-delà des milieux de laboratoire.
« Ces outils sont légitimes, fiables, ont un certificat valide – et en tant que tels, sont beaucoup moins susceptibles d’être détectés », ont noté les chercheurs, expliquant le défi fondamental auquel sont confrontés les défenseurs.
Défis de détection
L’attaque présente des défis uniques pour les équipes de sécurité car les méthodes de détection traditionnelles peuvent échouer. Le logiciel d’attaque propose des certificats numériques valides et est reconnu comme un logiciel de sécurité légitime, ce qui rend difficile la distinction des installations autorisées.
« Aucune activité malveillante évidente n’est générée pendant le processus de désactivation, et les systèmes semblent simplement être hors ligne plutôt que de montrer des signes clairs de compromis », ont ajouté les chercheurs.
Cela crée un angle mort dangereux pour les centres d’opérations de sécurité qui s’appuient sur la télémétrie de point final pour surveiller leur environnement. Lorsqu’un agent EDR cesse des rapports, il pourrait indiquer un arrêt du système, un problème de connectivité réseau ou cette nouvelle forme d’attaque.
Woods et Manrod ont fait des recommandations aux organisations qui souhaitent se défendre contre ce vecteur d’attaque. Ils ont suggéré de déployer des solutions de contrôle des applications pour bloquer les installations de logiciels de sécurité non autorisées et implémenter des «indicateurs d’attaque» personnalisés pour détecter les installations suspectes de l’EDR. Les pare-feu et les passerelles Web sécurisés peuvent aider à bloquer l’accès aux portails de fournisseurs de sécurité non autorisés, ont-ils ajouté.
Les chercheurs ont fourni des instructions détaillées pour que les équipes de sécurité testent ce vecteur d’attaque dans leur propre environnement, soulignant l’importance de comprendre comment ces attaques apparaissent dans la télémétrie de sécurité organisationnelle. Ils recommandent de effectuer des tests contrôlés à l’aide de systèmes isolés, de surveillance des lacunes de détection dans les outils de sécurité existants et d’analyser les délais d’attaque et les indicateurs.
« Enfin, essayez ceci à la maison. Testez, chassez et analysez à quoi ressemblent ces vecteurs dans votre environnement et utilisez ce test comme guide », ont exhorté les chercheurs.
