Ransomware Gentlemen : Quand les Cybercriminels Développent leurs Propres Outils pour Neutraliser les EDR

Le paysage des menaces cybernétiques évolue à une vitesse vertigineuse. Les groupes de ransomware sophistiqués ne se contentent plus d'exploiter des vulnérabilités logicielles ; ils développent désormais des stratégies d'adaptation offensives, y compris la création d'outils spécifiques pour contourner les défenses de sécurité modernes comme les solutions EDR (Endpoint Detection and Response). Le groupe "Gentlemen", un acteur particulièrement redoutable, illustre cette évolution en développant et en déployant ses propres mécanismes pour neutraliser les solutions de détection et de réponse des endpoints.

En bref

• Développement d'outils spécifiques : Le groupe Gentlemen crée des "EDR killers" conçus pour échapper à la détection des systèmes de sécurité.
• Adaptation proactive : Cette approche montre une escalade de la sophistication, passant de l'exploitation de failles à l'ingénierie inverse des défenses.
• Ciblage géographique : Des pays spécifiques, comme la France, sont identifiés comme des cibles prioritaires pour ces attaques ciblées.
• Défis pour les défenseurs : Les solutions EDR doivent constamment évoluer pour détecter non seulement les malwares, mais aussi les techniques d'évasion développées par les attaquants eux-mêmes.
• Importance de la connaissance offensive : Comprendre la boîte à outils de l'adversaire est crucial pour bâtir une posture de défense proactive et adaptative.

L'arsenal GentleKiller : Une stratégie d'évasion sophistiquée

Le phénomène observé avec le groupe Gentlemen révèle une maturité offensive où la simple exécution de charges utiles malveillantes est insuffisante. L'enjeu majeur réside dans la capacité de ces acteurs à rendre leurs activités invisibles aux systèmes de détection basés sur des signatures ou des comportements connus. L'arsenal "GentleKiller" représente une suite d'outils conçus spécifiquement pour perturber, désactiver ou contourner les capacités des solutions EDR installées sur les postes de travail.

L'objectif n'est pas seulement de chiffrer les données, mais d'assurer une persistance et une exfiltration maximales en garantissant que les mécanismes de surveillance sont désactivés avant l'exécution principale du ransomware.

1. Techniques d'Évasion du Hooking et de l'Instrumentation

Les EDR fonctionnent souvent en injectant des hooks dans les processus système pour surveiller les appels système (syscalls) et les activités de mémoire. Les développeurs de ransomware comme Gentlemen exploitent ces mécanismes. Ils peuvent utiliser des techniques d'injection avancées pour s'intégrer de manière furtive dans des processus légitimes, échappant ainsi aux filtres de comportement.

Exemple de concept technique (Illustratif) :

Pour contourner une surveillance basée sur l'injection de DLL, un attaquant peut utiliser des techniques de process hollowing ou d'inline hooking personnalisé pour s'assurer que les appels système critiques (comme ceux liés à la lecture de fichiers sensibles ou à la communication réseau) passent sous le radar de l'agent EDR.

# Concept de script pour masquer une activité (non fonctionnel, illustratif)
# Ceci représente la logique d'évasion, non une commande réelle.
$targetProcess = "explorer.exe"
$payload = "Injection_Code_Evasion"

# Logique d'injection furtive (concept)
Invoke-Process -Name $targetProcess -ArgumentList "-s" -ScriptBlock {
    # Code pour désactiver temporairement les hooks ou modifier le contexte du processus
    # ... Logique complexe d'injection ...
}

2. Manipulation du Kernel et des APIs de Sécurité

Pour une neutralisation plus profonde, les acteurs avancés visent souvent les couches plus basses du système d'exploitation. Cela implique la manipulation directe des appels système ou l'exploitation de failles dans la manière dont le système d'exploitation expose ses fonctionnalités de sécurité aux applications tierces.

Une fois l'accès obtenu, l'outil GentleKiller peut tenter de désactiver temporairement les hooks du noyau ou d'altérer les structures de données que l'agent EDR utilise pour maintenir son état de surveillance.

Configuration conceptuelle pour la manipulation de l'état (Niveau Kernel/Driver) :

Si l'on considère un environnement où un pilote est utilisé pour l'évasion, la configuration pourrait viser à modifier les structures de données de surveillance :

// Pseudocode pour la manipulation d'une structure de surveillance
struct EDR_Context *context = GetCurrentEDRContext();
if (context != NULL) {
    // Tentative de désactivation du monitoring pour une durée limitée
    context->monitoring_status = MONITORING_DISABLED;
    context->last_activity_mask = TRUE;
}

3. Polymorphisme et Obfuscation des Charges Utiles

Afin d'éviter la détection basée sur les signatures, les outils GentleKiller sont intrinsèquement polymorphes. Cela signifie que le code malveillant change sa signature à chaque exécution ou à chaque déploiement, rendant la création de signatures statiques pour la détection impossible. L'utilisation de techniques d'obfuscation avancées (comme le packing dynamique ou l'utilisation de chaînes de caractères cryptées) est essentielle ici.

Méthode d'obfuscation (Concept) :

L'utilisation d'un packer sophistiqué permet de décompresser le code malveillant uniquement dans la mémoire vive, juste avant son exécution, rendant l'analyse statique inefficace pour les outils de sécurité traditionnels.

# Exemple conceptuel en Python pour l'obfuscation
import packer_library

malicious_code = b"Code_Ransomware_Original"
packed_payload = packer_library.pack(malicious_code, algorithm="AES-256")

# Exécution du payload décompressé en mémoire
execute_in_memory(packed_payload)

Défenses contre l'arsenal des EDR Killers

Face à une menace qui développe activement des contre-mesures, la posture défensive doit passer d'une approche réactive à une approche de détection comportementale et de validation de l'intégrité.

1. Surveillance du Comportement au Niveau du Noyau (Kernel-Level Monitoring)

Les solutions EDR doivent se concentrer moins sur la signature du fichier et davantage sur la séquence des actions. Si un processus légitime commence soudainement à tenter de modifier des structures critiques du système ou à injecter du code dans d'autres processus, cela doit déclencher une alerte, même si l'injection elle-même est polymorphe.

Action Recommandée : Mettre en place des règles de corrélation complexes qui surveillent les appels système inhabituels ou les tentatives d'accès à des zones mémoire protégées.

2. Validation de l'Intégrité du Système (System Integrity Monitoring - SIM)

Des outils SIM peuvent vérifier en continu l'intégrité des fichiers système critiques, des registres et des bibliothèques DLL. Si un outil comme GentleKiller tente de modifier des composants fondamentaux pour désactiver un EDR, le SIM devrait détecter cette modification et isoler le processus suspect avant qu'il n'atteigne son objectif.

Configuration (Principe) :

Configurer des alertes pour toute modification non autorisée des fichiers dans les répertoires systèmes critiques (/System32, /Windows/System32, etc.) ou des modifications des hooks système.

# Exemple de vérification d'intégrité (concept)
$criticalFiles = @("C:\Windows\System32\ntdll.dll", "C:\Windows\System32\kernel32.dll")
foreach ($file in $criticalFiles) {
    if (-not (Test-Path $file)) {
        Write-Warning "Fichier critique manquant : $file"
        # Déclencher une réponse immédiate
    }
}

3. Analyse Comportementale Avancée (Behavioral Analysis)

Les moteurs EDR doivent être entraînés non seulement sur les signatures de malwares connus, mais aussi sur des modèles de comportement typiques des attaques d'évasion. Recherchez des schémas tels que : tentative de désactivation d'un service de sécurité, tentative d'injection dans un processus de sécurité, ou utilisation de techniques de process hollowing.

Bonnes pratiques pour les consultants IT

En tant que consultants, l'approche face à ces menaces nécessite une mentalité de "chasse" proactive plutôt que de simple "défense" passive.

1. Audit des mécanismes d'évasion : Ne vous contentez pas de vérifier si votre EDR est installé. Analysez comment les attaquants pourraient potentiellement désactiver ou contourner les mécanismes de votre solution (revue des mécanismes de hooking, des privilèges nécessaires aux agents EDR).
2. Adopter le Zero Trust pour les processus : Appliquez le principe du moindre privilège non seulement aux utilisateurs, mais aussi aux processus. Un processus qui n'a pas besoin d'accéder à des ressources critiques ne devrait pas avoir la capacité d'injecter dans d'autres processus.
3. Intégration des données Threat Intelligence : Intégrez les informations sur les tactiques, techniques et procédures (TTPs) spécifiques aux groupes de ransomware comme Gentlemen dans vos règles de détection. Cela permet de créer des règles basées sur le comportement intentionnel de l'attaquant plutôt que sur des artefacts statiques.
4. Tests d'Imitation d'Attaque (Red Teaming) : Simulez des scénarios où l'attaquant tente explicitement de neutraliser votre EDR. Cela permet de valider la résilience de votre architecture face à des attaques de niveau "EDR Killer".

Points clés

• L'évolution de la menace : Les attaquants développent des outils spécifiques pour neutraliser les défenses existantes (EDR Killers).
• La complexité de la défense : La détection doit migrer de la signature vers l'analyse comportementale et l'intégrité du système.
• Le rôle du Kernel : Les menaces avancées ciblent les couches profondes du système d'exploitation pour une évasion maximale.
• Proactivité indispensable : La défense efficace contre ces adversaires nécessite une compréhension offensive des techniques utilisées par les groupes.
• Focus sur l'Intégrité : La surveillance des modifications des composants système est une ligne de défense critique contre les outils de neutralisation.

Source : IT Connect