Suivre 
Résumé
L’article examine comment les attaquants utilisent des techniques de type Bring Your Own Vulnerable Driver pour obtenir un accès au niveau du noyau et désactiver ou supprimer des outils de protection des points de terminaison tels que les plateformes antivirus et EDR. Il décrit plusieurs tactiques courantes, y compris l’abus des règles de pare-feu, l’utilisation abusive de pilotes signés mais vulnérables, et le recours à des outils d’accès à distance pour maintenir la persistance tout en affaiblissant la visibilité de la sécurité. Des cas réels montrent comment des identifiants VPN volés, de la publicité malveillante et des pilotes légitimes avec des failles connues peuvent être utilisés pour mettre fin aux processus de sécurité. La préoccupation centrale est la menace croissante des attaques au niveau du noyau qui créent un angle mort où les adversaires peuvent opérer avec une détection réduite.
Enquête
Huntress a documenté des incidents au début de 2026 où des attaquants ont utilisé des identifiants VPN SonicWall volés pour déployer un binaire EDR-killer personnalisé qui a abusé d’un pilote EnCase forensique révoqué. Dans un cas ultérieur, une annonce malveillante a conduit à l’installation de ScreenConnect, après quoi un pilote audio Huawei vulnérable a été utilisé pour terminer les services de sécurité. Au cours de ces enquêtes, Huntress a observé un abus répétitif des pilotes, des boucles de terminaison de processus et l’utilisation de pilotes signés de confiance pour échapper à la détection statique de base.
Atténuation
Les défenses recommandées incluent la détection en temps réel de l’abus de pilotes vulnérables, la surveillance des changements inattendus des règles de pare-feu, et l’application de contrôles stricts autour de la signature et du chargement des pilotes. Huntress a également introduit des détections pour l’abus de pilotes TrueSight et le nettoyage automatisé des règles de pare-feu malveillantes. Une protection supplémentaire peut provenir de fonctionnalités de protection contre les altérations et d’un contrôle plus strict des exclusions pour rendre plus difficile pour les attaquants d’arrêter ou de désinstaller les outils EDR.
Réponse
Si cette activité est détectée, isolez immédiatement le système affecté, inversez tous les changements non autorisés de pare-feu, déchargez ou bloquez le pilote malveillant, et réinstallez ou réparez les agents EDR ou antivirus impactés. Les équipes de sécurité doivent ensuite effectuer une analyse judiciaire pour découvrir tout mécanisme de persistance ajouté ou d’identifiants volés et faire une rotation des comptes privilégiés tels que les identifiants VPN.
graph TB classDef action fill:#99ccff action_valid_accounts[« <b>Action</b> – <b>T1078 Comptes valides</b><br/><b>Description</b>: Utilisation d’identifiants compromis pour obtenir un accès autorisé.<br/><b>Détails</b>: Identifiants VPN SonicWall compromis »] class action_valid_accounts action action_priv_esc[« <b>Action</b> – <b>T1068 Exploitation pour élévation de privilèges</b><br/><b>Description</b>: Exploiter un pilote signé vulnérable pour élever les privilèges.<br/><b>Détails</b>: BYOVD utilisant un pilote EnCase vulnérable »] class action_priv_esc action action_impair_defenses[« <b>Action</b> – <b>T1562 Compromission des défenses</b><br/><b>Description</b>: Désinstaller ou désactiver les agents de sécurité et arrêter les processus associés »] class action_impair_defenses action action_disable_firewall[« <b>Action</b> – <b>T1562.004 Désactiver ou modifier le pare-feu système</b><br/><b>Description</b>: Créer des règles de pare-feu cachées pour bloquer les communications EDR »] class action_disable_firewall action action_service_stop[« <b>Action</b> – <b>T1489 Arrêt de services</b><br/><b>Description</b>: Arrêter de manière répétée les services de sécurité »] class action_service_stop action action_valid_accounts –>|mène_à| action_priv_esc action_priv_esc –>|mène_à| action_impair_defenses action_impair_defenses –>|mène_à| action_disable_firewall action_impair_defenses –>|mène_à| action_service_stop
Flux d’attaque
Détections
Un pilote a été chargé avec un statut de signature suspect (via sysmon)
Voir
Modification suspecte des exclusions de Defender (via cmdline)
Voir
Modifications suspectes des préférences Windows Defender (via powershell)
Voir
Détection de la tactique Bring Your Own Vulnerable Driver (BYOVD) [Chargement d’image Windows]
Voir
Détection des règles de pare-feu Windows malveillantes bloquant les communications EDR [Pare-feu Windows]
Voir
Exécution de la simulation
Prérequis : Le contrôle préalable du télémétrie et de la ligne de base doit être passé.
Narrative d’attaque & Commandes
L’adversaire vise à désactiver la télémétrie EDR de l’organisation en insérant une règle de pare-feu qui bloque tout le trafic sortant vers des points de terminaison cloud EDR connus. Pour augmenter la probabilité de détection, le nom de la règle mentionne explicitement “EDR”. Les étapes sont :
- Enumérez les points de terminaison EDR connus (codés en dur pour la démo).
- Créer une règle de blocage règle sortante nommée “Blocage des communications EDR”.
- Vérifiez que la règle est active et que le trafic sortant vers les domaines EDR est bloqué.
- Observez la génération de l’EventID 2004 avec le nom de règle malveillant, qui devrait déclencher la règle Sigma.
Script de test de régression
# -------------------------------------------------
# Script de simulation – Créer une règle de pare-feu malveillante
# -------------------------------------------------
# 1. Définir la liste des points de terminaison EDR (exemple)
$edrEndpoints = @("edr.contoso.com","logs.edr.contoso.net")
# 2. Créez une règle de blocage sortante pour chaque point de terminaison
foreach ($host in $edrEndpoints) {
$ruleName = "Blocage des communications EDR - $host"
New-NetFirewallRule `
-DisplayName $ruleName `
-Direction Outbound `
-RemoteAddress $host `
-Action Block `
-Profile Any `
-Enabled True `
-Protocol Any
Write-Host "Règle créée : $ruleName"
}
# 3. Afficher la liste des nouvelles règles créées pour vérification
Get-NetFirewallRule -DisplayName "*Blocage des communications EDR*"Commandes de nettoyage
# -------------------------------------------------
# Script de nettoyage – Supprimer les règles de pare-feu malveillantes
# -------------------------------------------------
Get-NetFirewallRule -DisplayName "*Blocage des communications EDR*" | Remove-NetFirewallRule -Confirm:$false
Write-Host "Toutes les règles de blocage EDR malveillantes ont été supprimées."