Reynolds Ransomware : Évasion au niveau du noyau via BYOVD intégré pour la désactivation des EDR

Reynolds Ransomware : Évasion au niveau du noyau via BYOVD intégré pour la désactivation des EDR

Des chercheurs en cybersécurité ont récemment dévoilé les détails d'une famille de rançongiciels émergente, surnommée Reynolds, qui marque une escalade significative dans les techniques d'évasion de défense adverses. Ce qui distingue Reynolds est son intégration ingénieuse d'un composant Bring Your Own Vulnerable Driver (BYOVD) directement dans sa charge utile de rançongiciel. Cette approche sophistiquée permet à Reynolds d'obtenir des privilèges au niveau du noyau, désactivant efficacement les outils de détection et de réponse des endpoints (EDR) et facilitant ses opérations destructrices avec une furtivité et une persistance inégalées.

Comprendre les attaques Bring Your Own Vulnerable Driver (BYOVD)

BYOVD est une technique d'attaque avancée qui exploite des pilotes de mode noyau légitimes, signés mais défectueux pour obtenir des privilèges élevés. Ces pilotes, souvent associés à des périphériques matériels, des logiciels de virtualisation ou même des outils de sécurité obsolètes, possèdent des vulnérabilités qui peuvent être exploitées pour exécuter du code arbitraire dans l'espace du noyau (Ring 0). Contrairement aux attaques en mode utilisateur, les opérations effectuées en mode noyau sont généralement invisibles ou intraçables par la plupart des solutions EDR, qui opèrent principalement en mode utilisateur ou s'appuient sur des rappels en mode noyau qui peuvent être altérés.

Le cœur d'une attaque BYOVD réside dans l'abus de fonctionnalités spécifiques des pilotes, telles que :

• Primitives de lecture/écriture arbitraires : Exploitation des IOCTL (I/O Control Codes) qui permettent à un attaquant de lire ou d'écrire à des adresses mémoire physiques ou virtuelles arbitraires dans le noyau.
• Manipulation directe de la mémoire du noyau : Contournement des mécanismes de protection de la mémoire pour modifier des structures critiques du noyau.
• Élévation de privilèges : Utilisation du pilote pour élever un processus à faible privilège au contexte d'exécution SYSTEM ou même au niveau du noyau.

Une fois qu'un pilote vulnérable est chargé et exploité, l'attaquant obtient un contrôle presque omnipotent sur le système d'exploitation, lui permettant de contourner les contrôles de sécurité qui reposent sur des hooks en mode utilisateur ou même de nombreux mécanismes de surveillance en mode noyau.

La chaîne d'attaque du rançongiciel Reynolds

La chaîne d'attaque du rançongiciel Reynolds, exploitant son BYOVD intégré, est particulièrement insidieuse :

1. Accès initial : Reynolds obtient probablement un accès initial par des vecteurs courants tels que des campagnes de spear-phishing, l'exploitation d'applications accessibles au public (par exemple, RDP, vulnérabilités VPN) ou une compromission de la chaîne d'approvisionnement.
2. Livraison de la charge utile et du dropper : Une fois à l'intérieur, l'exécutable Reynolds est déployé. Ce composant dropper contient la charge utile du rançongiciel elle-même et le pilote légitime mais vulnérable intégré.
3. Chargement et exploitation du pilote : Le rançongiciel enregistre et charge le pilote vulnérable. Par la suite, il interagit avec ce pilote en utilisant des IOCTL spécifiques ou d'autres interfaces exposées pour déclencher la vulnérabilité. Cela implique généralement de passer des entrées soigneusement conçues pour obtenir des capacités de lecture/écriture arbitraires de la mémoire du noyau.
4. Désactivation EDR au niveau du noyau : C'est la phase critique. Avec un accès en lecture/écriture arbitraire au niveau du noyau, Reynolds peut effectuer plusieurs actions pour neutraliser les outils de sécurité :
   • Arrêt des processus EDR : Localisation et arrêt directs des processus EDR à partir du mode noyau, contournant les protections du mode utilisateur.
   • Modification des rappels du noyau : Désenregistrement ou hooking des rappels critiques du noyau utilisés par les EDR pour la surveillance de l'activité du système de fichiers (IRP_MJ_CREATE), la création de processus (PsSetCreateProcessNotifyRoutine), le chargement d'images (PsSetLoadImageNotifyRoutine) ou l'accès au registre (CmRegisterCallback).
   • Dépatchage et déhooking : Rétablissement des correctifs en mémoire ou des hooks d'API injectés par les EDR dans les bibliothèques système (par exemple, ntdll.dll, kernel32.dll) pour reprendre le contrôle des fonctions système.
   • Désactivation des fournisseurs ETW : Manipulation des fournisseurs Event Tracing for Windows (ETW) utilisés par les outils de sécurité pour la collecte de télémétrie.
   • Manipulation des pilotes MiniFilter : Si un EDR utilise un pilote MiniFilter pour la surveillance du système de fichiers, Reynolds pourrait potentiellement le décharger ou altérer sa fonctionnalité.
5. Exécution du rançongiciel : Après avoir réussi à désactiver les défenses de sécurité, Reynolds procède à son objectif principal : chiffrer les fichiers, déposer des notes de rançon et supprimer les clichés instantanés pour empêcher une récupération facile.

Approfondissement technique : Mécanismes d'exploitation des pilotes

Le processus de conversion d'une primitive de lecture/écriture arbitraire en exécution complète du noyau est un art nuancé. Les acteurs de la menace emploient souvent des techniques telles que :

• Impersonation de jeton : Localisation de la structure _EPROCESS d'un processus cible (par exemple, un processus SYSTEM) et copie de son jeton vers le propre processus du rançongiciel, élevant ainsi ses privilèges.
• Injection de code : Allocation de mémoire exécutable dans l'espace du noyau et injection de shellcode, puis utilisation de la primitive d'écriture du pilote pour écraser un pointeur de fonction ou une entrée de table d'appels système pour exécuter ce shellcode.
• Manipulation directe d'objets du noyau (DKOM) : Modification des structures de données du noyau pour masquer des processus, élever des privilèges ou altérer les descripteurs de sécurité.

La capacité d'interagir directement avec les composants centraux du noyau Windows comme ntoskrnl.exe et ses fonctions exportées confère à Reynolds un avantage inégalé, rendant la détection et l'intervention extrêmement difficiles pour les mécanismes de sécurité conventionnels.

Impact et implications pour la sécurité des entreprises

L'émergence du rançongiciel Reynolds avec son composant BYOVD intégré signale une tendance inquiétante dans le paysage des menaces. Il représente un défi significatif pour la sécurité des entreprises, car il :

• Contourne les EDR/XDR avancés : Sape directement les capacités de surveillance de base des solutions EDR/XDR même sophistiquées.
• Augmente le temps de séjour : Une évasion de défense non détectée permet un temps de séjour prolongé, facilitant le mouvement latéral et une compromission plus large avant le chiffrement.
• Complique la réponse aux incidents : L'analyse forensique devient plus difficile en raison du manque de télémétrie EDR et de la nature furtive des opérations en mode noyau.
• Soulève des préoccupations concernant la chaîne d'approvisionnement : Met en évidence le risque posé par les pilotes légitimes et signés de fournisseurs tiers, qui peuvent devenir des vecteurs d'attaque.

Stratégies défensives et atténuation

Contrer les menaces comme Reynolds exige une stratégie de défense proactive et multicouche :

• Contrôle d'application strict et liste blanche des pilotes : Mettre en œuvre des politiques strictes comme Windows Defender Application Control (WDAC) ou Hypervisor-Protected Code Integrity (HVCI) pour restreindre les pilotes pouvant être chargés, empêchant le chargement de pilotes vulnérables connus.
• Mises à jour et correctifs réguliers : Maintenir les systèmes d'exploitation, les applications et surtout les pilotes tiers à jour pour corriger les vulnérabilités connues.
• Principe du moindre privilège : Limiter les privilèges des utilisateurs pour réduire la surface d'attaque pour la compromission initiale et l'élévation de privilèges ultérieure.
• EDR/XDR avancés avec visibilité au niveau du noyau : Déployer des solutions de sécurité offrant une visibilité plus profonde au niveau du noyau et pouvant détecter les anomalies de chargement de pilotes, les schémas d'accès mémoire du noyau inhabituels ou les tentatives d'altération des rappels du noyau.
• Intégrité de la mémoire et sécurité basée sur la virtualisation (VBS) : Activer les fonctionnalités VBS comme HVCI pour protéger les processus et pilotes du noyau contre l'altération.
• Chasse aux menaces : Rechercher activement les activités de pilotes suspectes, les pilotes non signés, les chargements inattendus de modules du noyau ou les comportements de processus inhabituels indiquant une exploitation BYOVD.
• Segmentation réseau et sauvegardes hors ligne : Essentiels pour limiter le mouvement latéral et assurer la continuité des activités en cas de compromission réussie.

Criminalistique numérique, attribution des menaces et analyse de liens

À la suite d'une attaque sophistiquée comme Reynolds, une criminalistique numérique et une attribution des menaces robustes sont primordiales. Les enquêteurs doivent collecter et analyser chaque élément de télémétrie disponible pour reconstruire la chaîne d'attaque, identifier les vecteurs d'accès initiaux et comprendre les tactiques, techniques et procédures (TTP) de l'adversaire.

Pour la collecte avancée de télémétrie lors de la réponse aux incidents ou de la collecte de renseignements sur les menaces, des outils comme iplogger.org peuvent être instrumentaux. Il facilite la collecte de points de données critiques tels que les adresses IP, les chaînes User-Agent, les détails du FAI et les empreintes digitales des appareils, permettant aux enquêteurs de cartographier l'infrastructure d'attaque, de comprendre les profils des adversaires et de retracer les étapes initiales de la compromission avec une plus grande précision. Cette extraction de métadonnées des communications réseau, combinée à la criminalistique des endpoints, est cruciale pour développer une intelligence des menaces robuste et améliorer la posture défensive.

Conclusion

Le rançongiciel Reynolds, avec son composant BYOVD intégré, représente une évolution formidable des capacités des rançongiciels, repoussant les limites de l'évasion des défenses dans le noyau. Il souligne le besoin critique pour les organisations d'adopter une posture de sécurité holistique qui va au-delà de la protection traditionnelle des endpoints, en intégrant un contrôle avancé des pilotes, l'intégrité de la mémoire et la chasse proactive aux menaces. Alors que les adversaires continuent d'innover, une stratégie de défense multicouche, éclairée par une compréhension technique approfondie et une intelligence des menaces continue, reste le plus solide rempart contre de telles menaces persistantes avancées.