Une nouvelle technique de cyberattaque a émergé, permettant aux attaquants de contourner les systèmes de Détection et de Réponse des Points de Terminaison (EDR) tout en opérant sous un compte d’utilisateur standard à faible privilège. Cette nouvelle technique d’attaque pour contourner l’EDR en tant qu’utilisateur standard à faible privilège est significative. Traditionnellement, l’évasion de l’EDR nécessite des privilèges élevés, tels que l’accès administratif ou au niveau système. Cependant, cette approche innovante utilise le masquage et l’obfuscation de chemin pour déguiser des charges utiles malveillantes en tant que processus légitimes, trompant à la fois les systèmes de détection automatisés et les analystes humains.
Les entreprises utilisant l’EDR peuvent détecter des cyberattaques en quelques heures ou moins. Découvrez comment l’EDR est essentiel pour les entreprises de toutes tailles, améliorant la conformité et permettant une chasse proactive aux menaces !
Comprendre l’EDR et le SIEM en tant que Service
Les systèmes de Détection et de Réponse des Points de Terminaison (EDR) sont cruciaux pour surveiller et répondre aux menaces sur les points de terminaison. Ils analysent les événements de création de processus, qui sont vitaux pour identifier les menaces potentielles. La Gestion des Informations et des Événements de Sécurité (SIEM) en tant que Service peut améliorer les capacités de l’EDR en agrégeant et en analysant les journaux provenant de diverses sources, fournissant une vue d’ensemble des événements de sécurité.
Techniques d’Attaque Principales
Événements de Création de Processus dans la Surveillance de l’EDR
Selon les rapports de Zero Salarium, les événements de création de processus sont cruciaux pour identifier les menaces potentielles. Des outils comme Sysmon enregistrent des informations détaillées sur l’exécution des processus, y compris des champs tels que Image, CommandLine, CurrentDirectory et ParentProcessID. Les analystes priorisent souvent l’investigation des processus suspects en fonction de leurs chemins d’exécution ou de leurs noms de fichiers. Cela est particulièrement pertinent compte tenu de la nouvelle technique d’attaque pour contourner l’EDR en tant qu’utilisateur standard à faible privilège.
Par exemple, un processus s’exécutant depuis C:\Program Files\Windows Defender\MsMpEng.exe pourrait sembler légitime, tandis qu’un processus provenant de %TEMP%\SuperJuicy.exe soulèverait des drapeaux rouges. Les solutions EDR s’appuient sur une protection au niveau du noyau pour sécuriser des répertoires comme C:\Program Files. Sans privilèges administratifs, les attaquants ne peuvent pas placer de charges utiles dans ces répertoires protégés. Cependant, cette nouvelle technique contourne ces restrictions en manipulant le chemin du fichier lui-même.
Masquage de Fichier et Obfuscation de Chemin
Le masquage est une tactique bien connue en cybersécurité, où les attaquants déguisent des fichiers malveillants pour les faire paraître inoffensifs. Les méthodes courantes incluent:
- Double Extensions de Fichier : Nommer des fichiers comme document.pdf.exe.
- Override de Droite à Gauche (RLO) : Inverser l’ordre des noms de fichiers en utilisant des caractères spéciaux.
- Imitation de Noms Légitimes : Renommer des fichiers pour correspondre à des applications de confiance (par exemple, svchost.exe).
Dans cette attaque, l’accent est mis sur les chemins de répertoire plutôt que sur les noms de fichiers. L’attaquant crée un dossier imitant le chemin légitime d’un logiciel antivirus en utilisant des caractères Unicode qui ressemblent à des espaces ASCII. Par exemple, l’attaquant crée un dossier nommé C:\Program Files 00 avec des permissions d’écriture complètes. Ce dossier est renommé en C:\Program[U+2000]Files, où le caractère Unicode U+2000 (En Quad) ressemble visuellement à un espace. Cela fait partie de la nouvelle technique d’attaque pour contourner l’EDR en tant qu’utilisateur standard à faible privilège.
L’attaquant copie le contenu de C:\Program Files\Windows Defender\ dans ce nouveau répertoire et ajoute sa charge utile (SuperJuicy.exe).
Exécution de la Charge Utile
Une fois la charge utile exécutée depuis le répertoire falsifié, les journaux Sysmon montrent un événement de création de processus avec un chemin d’image ressemblant à C:\Program Files\Windows Defender\SuperJuicy.exe. Sans inspection minutieuse ou outils spécialisés pour détecter les caractères Unicode, les analystes peuvent confondre cela avec un processus légitime. Cela met en évidence l’efficacité de la nouvelle technique d’attaque pour contourner l’EDR en tant qu’utilisateur standard à faible privilège.
Implications pour les Systèmes EDR
L’utilisation de l’obfuscation de chemin basée sur Unicode complique la détection des menaces de plusieurs manières :
- Temps de Persistance Prolongé : En apparaissant inoffensive, la charge utile malveillante peut persister plus longtemps sur le système cible.
- Confusion dans l’Analyse des Journaux : Les analystes peuvent perdre un temps précieux à enquêter sur de fausses pistes.
- Attribution Trompeuse : L’attaque pourrait être mal interprétée comme une compromission d’un logiciel de sécurité légitime.
Stratégies Défensives
Pour lutter contre cette nouvelle technique d’évasion de l’EDR, les équipes de sécurité devraient envisager les stratégies défensives suivantes :
- Règles de Journalisation Améliorées : Configurer Sysmon ou des solutions SIEM pour identifier et signaler les chemins contenant des caractères d’espace Unicode.
- Indicateurs Visuels Clairs : Ajuster les visualisateurs de journaux pour afficher explicitement les caractères Unicode (par exemple, afficher Program[En Quad]Files au lieu de Program Files).
- Limiter les Permissions de Création de Dossiers : Restreindre l’accès des utilisateurs standards aux répertoires essentiels, tels que C:, pour améliorer la sécurité et atténuer le risque de la nouvelle technique d’attaque pour contourner l’EDR en tant qu’utilisateur standard à faible privilège.
Conclusion
Cette nouvelle technique d’évasion de l’EDR met en lumière l’évolution de la sophistication des cyberattaques. La nouvelle technique d’attaque pour contourner l’EDR en tant qu’utilisateur standard à faible privilège exige que les équipes de sécurité s’adaptent en améliorant la visibilité sur les anomalies subtiles dans les journaux et en renforçant les protections des points de terminaison contre de telles tactiques trompeuses. En restant informées et en mettant en œuvre des mesures de sécurité robustes, les organisations peuvent mieux se défendre contre ces menaces émergentes.
Prêt à renforcer vos défenses en cybersécurité ? Contactez-nous dès aujourd’hui pour votre évaluation de réseau GRATUITE et faites le premier pas vers la protection de votre entreprise contre les menaces cybernétiques !
