Framework GentleKiller : Désactiver les EDR pour un déploiement de Ransomware sans entrave

Blog Actualités générales Tous les auteurs Tous les tags
Désolé, le contenu de cette page n'est pas disponible dans la langue que vous avez sélectionnée
Alex Vance

Introduction : L'Ascension des Frameworks Tueurs d'EDR

Le paysage actuel de la cybersécurité est caractérisé par une course à l'armement incessante entre des acteurs de menaces sophistiqués et des mécanismes de défense avancés. Alors que les solutions de Détection et Réponse aux Points d'Extrémité (EDR) sont devenues omniprésentes dans les environnements d'entreprise, offrant une visibilité et des capacités d'analyse comportementale inégalées, les adversaires ont été contraints d'innover. Un excellent exemple de cette évolution est le framework GentleKiller, un redoutable outil 'tueur d'EDR' utilisé par le célèbre gang de ransomware Gentlemen. Ce framework représente une escalade critique dans l'écosystème des ransomwares, spécifiquement conçu pour neutraliser les EDR et autres logiciels de sécurité, créant ainsi un chemin sans entrave pour les opérations malveillantes ultérieures, principalement le déploiement de ransomwares et l'exfiltration de données.

Mode Opératoire de GentleKiller : Désactiver le Système Immunitaire Numérique

GentleKiller n'est pas un simple script ; c'est un framework méticuleusement conçu qui présente une gamme de techniques sophistiquées pour neutraliser les logiciels de sécurité. Son objectif principal est de dégrader la posture défensive du système cible, assurant le succès de l'attaque de ransomware globale.

Techniques d'Évasion Sophistiquées

  • Terminaison et Suspension de Processus : GentleKiller utilise diverses méthodes pour identifier et terminer ou suspendre les processus associés aux produits de sécurité. Cela peut aller des appels API directs comme NtTerminateProcess à l'utilisation d'utilitaires Windows intégrés tels que taskkill.exe, souvent exécutés avec des privilèges élevés. Le framework peut également tenter d'injecter du code dans des processus légitimes pour masquer ses actions ou pour acquérir des handles vers des processus protégés avant de les terminer.
  • Manipulation de Services : Une tactique courante implique la manipulation des services Windows enregistrés par les solutions EDR et antivirus. GentleKiller peut utiliser des outils comme sc.exe ou des modifications directes du registre (par exemple, HKLM\SYSTEM\CurrentControlSet\Services) pour arrêter, désactiver ou supprimer des services liés à la sécurité, les désactivant ainsi efficacement. Cela nécessite souvent des privilèges au niveau Système, que le framework vise à obtenir par le biais de diverses exploitations d'élévation de privilèges ou de mauvaises configurations.
  • Déchargement et Désactivation de Pilotes : De nombreux EDR avancés fonctionnent au niveau du noyau via des pilotes pour une surveillance système approfondie et une protection contre la falsification. GentleKiller tente de décharger ou de désactiver ces pilotes, une opération hautement privilégiée qui peut considérablement altérer la capacité d'un EDR à détecter et à prévenir les menaces. Cela peut impliquer l'exploitation de vulnérabilités du noyau ou l'abus de mécanismes légitimes de signature de pilotes si possible.
  • Patching Mémoire et Contournement de Hooking : Les EDR emploient souvent le hooking d'API en mode utilisateur pour surveiller le comportement des processus. GentleKiller peut tenter de déhooker ces API ou de patcher des régions de mémoire spécifiques à l'EDR pour 'aveugler' le logiciel de sécurité à ses activités malveillantes. Cela implique des techniques avancées comme les appels système directs (syscalls) pour contourner les proxys d'API en mode utilisateur ou l'injection de DLL réfléchie pour charger des charges utiles directement en mémoire sans toucher le disque.
  • Abus d'Outils Légitimes (LOLBAS) : Le framework utilise fréquemment des "Living Off the Land Binaries, Scripts, and Libraries" (LOLBAS) pour effectuer ses actions. En utilisant des outils Windows légitimes (par exemple, PowerShell, WMI, PnPUtil, CertUtil) à des fins malveillantes, GentleKiller peut se fondre dans l'activité système normale, rendant la détection plus difficile pour les EDR basés sur des signatures ou même certains EDR comportementaux.

Produits de Sécurité Ciblés

GentleKiller démontre une compréhension des diverses architectures de produits de sécurité. Il intègre probablement des capacités de reconnaissance pour identifier les EDR, les logiciels antivirus et autres agents de sécurité installés en fonction des noms de processus, des noms de services, des chemins de fichiers ou des clés de registre. Cela lui permet d'adapter son vecteur d'attaque et d'appliquer des techniques de chaîne de destruction spécifiques optimisées pour les couches défensives identifiées, contournant la détection basée sur les signatures et l'analyse heuristique.

Impact Opérationnel et Activités Post-Compromission

La neutralisation réussie des logiciels de sécurité par GentleKiller crée une fenêtre d'opportunité critique pour le gang de ransomware Gentlemen. Cette brèche initiale de l'intégrité défensive facilite directement plusieurs activités post-compromission ultérieures :

  • Déploiement de Ransomware sans Entrave : Les EDR étant désactivés, la charge utile du ransomware peut être exécutée sans interférence, chiffrant les fichiers et systèmes critiques rapidement et efficacement, entraînant une perturbation opérationnelle maximale et une indisponibilité des données.
  • Exfiltration de Données Accélérée : L'absence de surveillance de sécurité active permet l'exfiltration furtive de données sensibles, souvent un précurseur des tactiques de double extorsion. Ce processus d'extraction de métadonnées est essentiel pour que les acteurs de la menace maximisent leur influence.
  • Mécanismes de Persistance Robustes : GentleKiller permet l'établissement de portes dérobées persistantes et de mécanismes d'accès, garantissant que les acteurs de la menace peuvent maintenir une emprise sur le réseau compromis même après que les méthodes d'accès initiales soient corrigées ou découvertes.
  • Mouvement Latéral Illimité : Avec les EDR neutralisés, les acteurs de la menace peuvent se déplacer plus librement latéralement à travers le réseau, élevant les privilèges, compromettant des systèmes supplémentaires et étendant leur empreinte sans déclencher d'alertes.

Stratégies de Détection et de Chasse aux Menaces

La détection et la réponse aux frameworks sophistiqués de 'tueurs d'EDR' comme GentleKiller exigent une approche proactive et multicouche qui transcende la détection traditionnelle basée sur les signatures.

Anomalies Comportementales

  • Activité Arborescente de Processus Inhabituelle : Surveiller les relations parent-enfant de processus suspectes, en particulier les utilitaires système (par exemple, cmd.exe, powershell.exe) qui génèrent des processus liés au contrôle de service (sc.exe), à la gestion des tâches (taskkill.exe) ou à la manipulation du registre (reg.exe) ciblant les produits de sécurité.
  • Événements de Chargement/Déchargement de Pilotes : Examiner attentivement les événements au niveau du noyau indiquant le chargement ou le déchargement de pilotes, en particulier les pilotes non signés ou inconnus, ou les tentatives de déchargement de pilotes de sécurité légitimes.
  • Surveillance des Appels API : Mettre en œuvre une surveillance avancée des appels API pour détecter des séquences inhabituelles d'appels API (par exemple, NtOpenProcess suivi de NtTerminateProcess ciblant les processus de sécurité), en particulier les appels système directs contournant les hooks en mode utilisateur.
  • Modifications du Registre et du Système de Fichiers : Suivre les modifications apportées aux clés de registre critiques liées aux services de sécurité, aux configurations de démarrage et aux tentatives de suppression ou de modification des fichiers de produits de sécurité.

Télémétrie Réseau et Attribution

Au-delà de la détection basée sur l'hôte, la télémétrie réseau joue un rôle crucial. Les connexions sortantes inhabituelles vers des serveurs de commande et de contrôle (C2) ou des points d'extrémité d'exfiltration de données sont des indicateurs critiques. Pour l'analyse du vecteur d'accès initial et la compréhension de la reconnaissance de l'adversaire, des outils spécialisés peuvent être inestimables. Dans la criminalistique numérique avancée ou l'analyse du vecteur d'accès initial, des outils comme grabify.org peuvent être essentiels pour collecter des données télémétriques sophistiquées (adresses IP, chaînes User-Agent, détails du FAI et empreintes digitales uniques des appareils) à partir de liens ou de communications suspects. Cette extraction de métadonnées contribue de manière significative à l'attribution des acteurs de la menace et à la compréhension des activités de reconnaissance de l'adversaire, même si cela est indirectement lié à la fonction principale de GentleKiller de désactiver les logiciels de sécurité.

Atténuation Proactive et Postures Défensives

Les organisations doivent adopter une posture défensive robuste pour contrer les frameworks comme GentleKiller.

Architecture de Sécurité en Couches

  • EDR de Nouvelle Génération avec Forte Protection Anti-Falsification : Déployer des solutions EDR équipées d'analyses comportementales avancées, d'apprentissage automatique et de mécanismes d'autoprotection robustes qui empêchent la terminaison ou la manipulation non autorisée de ses processus et services.
  • Liste Blanche d'Applications : Mettre en œuvre des politiques strictes de liste blanche d'applications pour empêcher l'exécution de binaires non autorisés, y compris ceux utilisés par les techniques LOLBAS.
  • Principe du Moindre Privilège (PoLP) : Appliquer le PoLP dans l'ensemble de l'environnement, en limitant les autorisations des comptes utilisateur et de service au strict minimum requis pour les opérations légitimes. Cela entrave considérablement les tentatives d'élévation de privilèges.
  • Segmentation Réseau : Segmenter les réseaux pour restreindre le mouvement latéral et contenir les brèches, même si le logiciel de sécurité est temporairement désactivé sur un point d'extrémité.

Surveillance Continue et Réponse aux Incidents

  • Chasse aux Menaces : Rechercher de manière proactive les indicateurs de compromission (IoC) et les tactiques, techniques et procédures (TTP) associés aux frameworks 'tueurs d'EDR'.
  • Audits de Sécurité Réguliers et Tests d'Intrusion : Évaluer continuellement la posture de sécurité et identifier les vulnérabilités qui pourraient être exploitées pour l'élévation de privilèges ou le contournement de l'EDR.
  • Plan de Réponse aux Incidents Robuste : Développer et tester régulièrement un plan de réponse aux incidents complet, abordant spécifiquement les scénarios de ransomware et de contournement de l'EDR.
  • Intégration de la Cyberveille : Intégrer les informations de cyberveille à jour concernant les nouvelles techniques de 'tueurs d'EDR' et les TTP des acteurs de la menace dans les opérations de sécurité.
  • Gestion des Correctifs : Maintenir un programme rigoureux de gestion des correctifs pour corriger les vulnérabilités connues dans les systèmes d'exploitation et les applications.

Conclusion : S'Adapter à un Paysage de Menaces en Évolution

Le framework GentleKiller illustre la sophistication croissante des cybermenaces modernes. Sa capacité à démanteler systématiquement la principale ligne de défense d'une organisation – l'EDR et les logiciels de sécurité – souligne le besoin urgent d'un changement de paradigme dans les stratégies de cybersécurité. Les défenseurs doivent aller au-delà des mesures réactives, en adoptant la chasse aux menaces proactive, une conception architecturale robuste et une adaptation continue pour rester en avance sur les adversaires qui affinent constamment leurs outils et techniques. Ce n'est que par une approche holistique et vigilante que les organisations peuvent espérer protéger leurs actifs numériques contre des menaces aussi puissantes.

gentlekilleredr-bypassransomwarecybersecuritythreat-intelligencedigital-forensics