𝐄𝐃𝐑 : 𝐐𝐮𝐚𝐧𝐝 𝐥'𝐨𝐮𝐭𝐢𝐥 𝐝𝐞 𝐝𝐞́𝐟𝐞𝐧𝐬𝐞 𝐝𝐞𝐯𝐢𝐞𝐧𝐭 𝐬𝐮𝐫𝐟𝐚𝐜𝐞 𝐝'𝐚𝐭𝐭𝐚𝐪𝐮𝐞

L'EDR est partout. C'est justement le problème.

Déployé sur l'ensemble des endpoints, doté de privilèges kernel, capable d'exécuter des actions à distance, l'EDR est devenu l'outil de sécurité le plus puissant du marché. Et donc, l'une des cibles les plus attractives pour les attaquants.

La logique est simple : neutraliser l'EDR avant de lancer une attaque, c'est opérer en aveugle pour les défenseurs. Les groupes cybercriminels l'ont compris. Leurs techniques évoluent en conséquence.

𝐄𝐱𝐩𝐥𝐨𝐢𝐭𝐚𝐭𝐢𝐨𝐧 𝐯𝐬 𝐂𝐨𝐧𝐭𝐨𝐮𝐫𝐧𝐞𝐦𝐞𝐧𝐭 : 𝐔𝐧𝐞 𝐝𝐢𝐬𝐭𝐢𝐧𝐜𝐭𝐢𝐨𝐧 𝐟𝐨𝐧𝐝𝐚𝐦𝐞𝐧𝐭𝐚𝐥𝐞

Ces deux catégories d'attaques, bien que souvent confondues, reposent sur des logiques radicalement différentes.

𝐄𝐱𝐩𝐥𝐨𝐢𝐭𝐚𝐭𝐢𝐨𝐧 𝐝𝐞 𝐕𝐮𝐥𝐧𝐞́𝐫𝐚𝐛𝐢𝐥𝐢𝐭𝐞́𝐬 𝐄𝐃𝐑

Certains attaquants ciblent l'EDR lui-même comme n'importe quel logiciel vulnérable : via des failles dans l'agent, une escalade de privilèges sur le driver kernel, ou la compromission de la console d'administration. Un accès à cette console, c'est la capacité de désactiver la protection sur tout le parc en quelques clics.

→ 𝗖𝗮𝘀 𝗱𝗲 𝗙𝗜𝗡𝟳 𝗲𝘁 𝗹'𝗼𝘂𝘁𝗶𝗹 𝗔𝘃𝗡𝗲𝘂𝘁𝗿𝗮𝗹𝗶𝘇𝗲𝗿 : Le groupe cybercriminel FIN7, associé à de nombreuses campagnes de ransomware, a développé un outil interne baptisé AvNeutralizer (également référencé sous le nom AuKill). Documenté par les équipes de SentinelOne et Sophos, cet outil exploite des drivers Windows légitimes mais vulnérables pour terminer les processus de protection EDR avec des privilèges kernel. FIN7 a intégré AvNeutralizer comme étape systématique dans ses intrusions, précédant le déploiement du ransomware par une phase de neutralisation ciblée des solutions de sécurité. L'outil a évolué au fil des versions pour cibler spécifiquement différents éditeurs EDR, témoignant d'un développement actif et professionnel.

𝐂𝐨𝐧𝐭𝐨𝐮𝐫𝐧𝐞𝐦𝐞𝐧𝐭 𝐓𝐞𝐜𝐡𝐧𝐢𝐪𝐮𝐞 : 𝐋'𝐀𝐫𝐭 𝐝'𝐞́𝐯𝐢𝐭𝐞𝐫 𝐥𝐚 𝐥𝐨𝐠𝐢𝐪𝐮𝐞 𝐄𝐃𝐑

Le contournement, ou EDR evasion, relève d'une philosophie différente : l'attaquant ne "casse" pas l'EDR, il évite sa logique de détection. L'EDR continue de fonctionner normalement, il ne voit tout simplement pas ce qui se passe.

𝗟𝗶𝘃𝗶𝗻𝗴 𝗢𝗳𝗳 𝗧𝗵𝗲 𝗟𝗮𝗻𝗱 : utiliser uniquement des outils Windows légitimes (PowerShell, WMI, certutil). Difficile à distinguer d'une activité normale.
𝗜𝗻𝗱𝗶𝗿𝗲𝗰𝘁 𝗦𝘆𝘀𝗰𝗮𝗹𝗹𝘀 : appeler directement le kernel sans passer par les couches API surveillées par l'EDR.
𝗠𝗲𝗺𝗼𝗿𝘆 𝗨𝗻𝗵𝗼𝗼𝗸𝗶𝗻𝗴 : supprimer les hooks placés par l'EDR dans la mémoire du processus pour opérer sans surveillance.
𝗕𝗬𝗢𝗩𝗗 (𝗕𝗿𝗶𝗻𝗴 𝗬𝗼𝘂𝗿 𝗢𝘄𝗻 𝗩𝘂𝗹𝗻𝗲𝗿𝗮𝗯𝗹𝗲 𝗗𝗿𝗶𝘃𝗲𝗿) : charger un driver signé mais vulnérable pour obtenir des droits kernel et aveugler l'EDR.

→ Parmi les groupes les plus sophistiqués dans l'utilisation de ces techniques, APT29 (Cozy Bear, attribué au SVR russe) est régulièrement cité pour sa maîtrise des méthodes d'évasion en mémoire et l'absence quasi-totale d'indicateurs sur disque.

𝐂𝐚𝐬 𝐜𝐨𝐧𝐜𝐫𝐞𝐭 : 𝐋𝐚 𝐜𝐚𝐦𝐩𝐚𝐠𝐧𝐞 𝐁𝐥𝐚𝐜𝐤𝐁𝐲𝐭𝐞

En 2023, Sophos a documenté une campagne du groupe ransomware BlackByte. Leur méthode : exploiter une vulnérabilité dans RTCore64.sys, un driver du logiciel MSI Afterburner, pour désactiver plus de 1 000 drivers Windows, dont ceux des solutions EDR de plusieurs éditeurs majeurs.

Résultat : des environnements pourtant équipés de sécurité endpoint moderne, opérés en toute discrétion. L'attaque est passée sous les radars parce qu'elle s'appuyait sur un composant signé et légitime.

𝗣𝗼𝘂𝗿𝗾𝘂𝗼𝗶 𝗰'𝗲𝘀𝘁 𝗰𝗿𝗶𝘁𝗶𝗾𝘂𝗲 ?

Les EDR sont devenus, dans la majorité des organisations, la dernière ligne de défense réelle face aux menaces avancées. Les périmètres réseau sont poreux, les identités compromises quotidiennement, les environnements cloud difficilement maîtrisables. C'est sur l'endpoint que se joue souvent la détection finale d'une intrusion.

Or les attaquants l'ont parfaitement compris. L'adaptation des techniques d'évasion et de neutralisation EDR n'est plus le privilège de groupes étatiques disposant de ressources illimitées, elle se diffuse dans l'écosystème cybercriminel via des forums, des outils open source, et des marketplaces d'accès initial.

𝗥𝗲𝗰𝗼𝗺𝗺𝗮𝗻𝗱𝗮𝘁𝗶𝗼𝗻𝘀

Face à ces menaces, la réponse consiste à ne plus traiter ces outils comme des solutions autonomes et suffisantes.

Surveiller l'EDR lui-même. Les logs de l'agent, les tentatives de chargement de drivers inhabituels, les modifications du service EDR doivent faire l'objet d'alertes dédiées dans votre SIEM.

Appliquer les mises à jour sans délai. Les agents EDR et leurs composants kernel sont des logiciels comme les autres.

Contrôler le chargement des drivers. La politique de Driver Signing Enforcement et les listes de blocage de drivers vulnérables sont des contre-mesures directes contre les attaques BYOVD.

Ne pas centraliser sans protéger. La console d'administration EDR mérite le même niveau de protection que votre Active Directory : MFA obligatoire, accès restreint, surveillance des connexions et des actions d'administration.

Tester régulièrement. Des exercices de red team ciblant explicitement les solutions de sécurité, ou l'usage de frameworks, permettent d'évaluer l'efficacité réelle de votre EDR face aux techniques d'évasion contemporaines avant qu'un attaquant ne le fasse à votre place.

𝘓𝘢 𝘤𝘰𝘯𝘧𝘪𝘢𝘯𝘤𝘦 𝘢𝘷𝘦𝘶𝘨𝘭𝘦 𝘥𝘢𝘯𝘴 𝘶𝘯 𝘰𝘶𝘵𝘪𝘭 𝘥𝘦 𝘴𝘦́𝘤𝘶𝘳𝘪𝘵𝘦́ 𝘦𝘴𝘵 𝘦𝘭𝘭𝘦-𝘮𝘦̂𝘮𝘦 𝘶𝘯𝘦 𝘷𝘶𝘭𝘯𝘦́𝘳𝘢𝘣𝘪𝘭𝘪𝘵𝘦́. 𝘊𝘰𝘮𝘱𝘳𝘦𝘯𝘥𝘳𝘦 𝘤𝘰𝘮𝘮𝘦𝘯𝘵 𝘷𝘰𝘴 𝘥𝘦́𝘧𝘦𝘯𝘴𝘦𝘴 𝘱𝘦𝘶𝘷𝘦𝘯𝘵 𝘦̂𝘵𝘳𝘦 𝘤𝘰𝘯𝘵𝘰𝘶𝘳𝘯𝘦́𝘦𝘴 𝘦𝘴𝘵 𝘭𝘢 𝘱𝘳𝘦𝘮𝘪𝘦̀𝘳𝘦 𝘦́𝘵𝘢𝘱𝘦 𝘱𝘰𝘶𝘳 𝘭𝘦𝘴 𝘳𝘦𝘯𝘧𝘰𝘳𝘤𝘦𝘳.