ACTUALITÉS - CYBERSECURITÉ

Introduction

Dans un monde où les cyberattaques deviennent de plus en plus sophistiquées, on pourrait penser qu’installer un EDR (Endpoint Detection and Response) est suffisant pour se protéger des menaces. Après tout, un EDR surveille les endpoints, détecte les anomalies et bloque les intrusions, non ?

Mais les dernières attaques montrent que cette confiance aveugle dans les solutions automatiques de sécurité est insuffisante. Prenons le cas d’EDRSilencer : un outil d’attaque capable de contourner les protections de plusieurs EDR populaires sans se faire repérer. Cet exemple nous rappelle que, même avec des technologies de pointe, il est essentiel de disposer d’une expertise humaine dédiée à la cybersécurité. À travers cet article, voyons pourquoi l’assistance d’un spécialiste est indispensable pour assurer la sécurité opérationnelle de vos services et comment il peut intervenir là où la technologie, seule, montre ses limites.

NB : Pour rédiger cet article nous nous appuyons sur l'article de Trend Micro que vous retrouverez ici (ce sont leurs équipes de chercheurs qui ont repérés ce détournement)

EDRSilencer : Un outil de Red Team détourné

L’EDRSilencer est un outil de Red Team, c’est-à-dire un programme conçu initialement pour tester les défenses d’un système informatique en simulant des attaques réelles. Une Red Team est une équipe de spécialistes en cybersécurité engagée par une organisation pour identifier ses faiblesses en matière de sécurité. Ces experts utilisent des techniques similaires à celles des cybercriminels, mais dans un cadre contrôlé, afin de découvrir des vulnérabilités que les hackers pourraient exploiter.

L’objectif de la Red Team est de mieux comprendre les points faibles et de recommander des améliorations aux systèmes de sécurité de l’organisation. Cependant, l’EDRSilencer a été récupéré par des cybercriminels qui l’utilisent désormais pour leurs propres attaques, contournant ainsi les systèmes de défense initialement visés par cet outil.

Fonctionnement de l’EDRSilencer : Les étapes du contournement de sécurité

EDRSilencer suit plusieurs étapes pour désactiver les protections des EDR :

1.  Identification des EDR installés : EDRSilencer commence par analyser le système pour repérer les solutions de sécurité en place. Il identifie les processus spécifiques de chaque EDR, ce qui permet de cibler les défenses avec précision.
2. Désactivation des processus : Une fois les EDR repérés, EDRSilencer désactive leurs processus, empêchant ainsi les alertes et les rapports d’activité malveillante d’atteindre les équipes de sécurité.
3. Injection de code malveillant : Enfin, les hackers injectent leur propre code dans le système sans se faire repérer, ouvrant la voie à des actions telles que le vol de données, la propagation de malwares ou l’installation de ransomwares.

Les EDR ciblés par EDRSilencer

L’outil EDRSilencer est capable de contourner plusieurs solutions EDR en exploitant leurs processus spécifiques. Parmi les produits de sécurité les plus connus impactés, on retrouve :

• Cisco Secure Endpoint (anciennement AMP) : Processus ciblé : sfc.ex
• FortiEDR : Processus ciblé : fortiedr.exe
• Microsoft Defender for Endpoint et Microsoft Defender Antivirus : Processus ciblé : MsMpEng.exe, MsSense.exe, SenseIR.exe, SenseNdr.exe, SenseCncProxy.exe, SenseSampleUploader.exe
• Palo Alto Networks Traps/Cortex XDR : Processus ciblé : Traps.exe, cyserver.exe, CyveraService.exe, CyvrFsFlt.exe
• SentinelOne : Processus ciblé : SentinelAgent.exe
• TrendMicro Apex One : Processus ciblé : CETASvc.exe, WSCommunicator.exe, EndpointBasecamp.exe, TmListen.exe, Ntrtscan.exe, TmWSCSvc.exe, PccNTMon.exe, TMBMSRV.exe, CNTAoSMgr.exe, TmCCSF.exe

Chaque processus représente le composant principal de l’EDR, et une fois ces processus désactivés ou manipulés, les hackers peuvent opérer sans déclencher de détection. Selon Trend Micro, le détournement de ces processus est extrêmement efficace pour empêcher les alertes de se déclencher.

Si vous souhaitez obtenir la liste exhaustive des EDR concernés vous les trouverez sur cet article de Trend Micro

Pourquoi le détournement d’EDRSilencer est-il une menace ?

Le fait que les hackers puissent exploiter un outil de Red Team comme EDRSilencer pour contourner les solutions de sécurité est préoccupant pour plusieurs raisons :

• Accès facilité pour les cybercriminels : EDRSilencer est désormais disponible sur des forums de cybercriminalité, ce qui rend cet outil accessible même aux attaquants qui ne disposent pas de compétences techniques poussées.
• Contournement silencieux : En désactivant les processus des EDR, les hackers peuvent effectuer des actions malveillantes sans déclencher d’alertes, ce qui complique la détection de l’attaque par les équipes de sécurité.
• Adaptabilité de l’outil : Les cybercriminels peuvent modifier EDRSilencer pour qu’il cible de nouvelles solutions EDR ou pour s’adapter aux dernières mises à jour, rendant la lutte contre cet outil encore plus complexe.

Mesures de protection et de prévention

Pour se prémunir contre les attaques utilisant des outils comme EDRSilencer, voici quelques recommandations essentielles :

• Mettre à jour les solutions EDR : Les éditeurs des EDR concernés travaillent à corriger les failles exploitées par EDRSilencer. Il est crucial de maintenir les solutions de sécurité à jour pour bénéficier des correctifs de sécurité.
• Surveiller les indicateurs de compromission : Même si les alertes peuvent être désactivées, d’autres signaux peuvent révéler une compromission, tels que les anomalies dans l’activité réseau ou les connexions suspectes aux ressources critiques.
• Former les équipes de sécurité : La sensibilisation aux menaces émergentes et la formation continue des équipes sont essentielles pour réagir rapidement face aux techniques de contournement de plus en plus sophistiquées.
• Mettre en place une stratégie de Zero Trust : En appliquant le modèle de sécurité Zero Trust, les organisations peuvent limiter l’impact des attaques en exigeant des vérifications d’identité pour chaque tentative d’accès, réduisant ainsi la surface d’attaque potentielle.

Pourquoi investir dans une expertise humaine est essentiel

Bien que les solutions EDR soient essentielles pour détecter et bloquer des menaces, elles restent limitées face à des attaques sophistiquées. Sans l’intervention d’un expert en cybersécurité, ces outils peuvent être contournés, comme le montre l’exemple d’EDRSilencer, un outil qui désactive les protections de plusieurs EDR sans déclencher d’alertes. Voici pourquoi une supervision humaine est indispensable pour compléter et renforcer les capacités des EDR :

1. Analyse des signaux faibles et interprétation contextuelle
   Contrairement à un EDR qui fonctionne de manière automatisée, un expert en sécurité est capable de reconnaître les signaux faibles et d’interpréter les alertes en fonction du contexte spécifique de l’entreprise. Il sait distinguer les comportements normaux de ceux qui peuvent signaler une compromission, même subtile, ce qui permet de détecter des attaques qui passeraient sous le radar des systèmes automatisés.
2. Réponse rapide et gestion des incidents
   Lorsqu’une attaque est en cours, la rapidité d’intervention est cruciale. En cas de compromission ou de contournement de l’EDR, un spécialiste peut évaluer la portée de l’attaque et appliquer des mesures d’urgence pour contenir et limiter les dégâts. Cette réactivité humaine est souvent décisive pour éviter la propagation de l’intrusion et protéger les systèmes critiques.
3. Adaptation aux nouvelles menaces et prévention proactive
   Les cybermenaces évoluent constamment, et seul un expert peut ajuster la stratégie de sécurité de manière proactive en fonction des nouvelles tendances d’attaque. Il peut affiner les configurations de l’EDR, surveiller les tendances émergentes, et mettre en place des contre-mesures avant même qu’une menace ne se concrétise, offrant ainsi une prévention renforcée.
4. Adaptation et amélioration continue
   Un spécialiste en cybersécurité peut ajuster en temps réel la posture de sécurité de l’entreprise, en identifiant les failles potentielles et en appliquant les correctifs nécessaires. Contrairement aux processus automatisés, cette expertise humaine permet une réaction flexible et immédiate, adaptée aux spécificités de chaque organisation.

Conclusion : Ne laissez pas la technologie seule assurer votre sécurité

Si EDRSilencer a bien démontré quelque chose, c’est que même les meilleures solutions technologiques ont leurs failles. Se reposer exclusivement sur un EDR pour assurer la sécurité de vos systèmes, c’est oublier que la cybersécurité repose avant tout sur une compréhension fine et une réactivité humaine.

Investir dans une expertise en cybersécurité, c’est s’assurer qu’il y a quelqu’un pour surveiller, interpréter et réagir face aux menaces. La technologie est puissante, mais l’intelligence humaine reste indispensable pour déjouer les attaques sophistiquées. En d’autres termes, confier la sécurité de votre entreprise à un expert, c’est lui donner les moyens d’anticiper et de contrer les cybermenaces qui évoluent sans cesse.

Vous souhaitez en savoir plus ou bien être accompagné par nos services sur ce genre de thématique ?