Cette section explore les techniques avancées de compréhension et d’évasion des solutions de sécurité endpoint modernes à travers une analyse technique approfondie de l’architecture Windows et des internals EDR.
Windows Internals
Une exploration technique complète des fondamentaux de l’architecture Windows essentiels au développement de techniques d’évasion efficaces. Cet article couvre la division entre les domaines de privilèges Kernel Mode et User Mode, examinant les composants principaux incluant la couche Executive avec ses gestionnaires spécialisés (Process Manager, Memory Manager, I/O Manager, Object Manager), le Security Reference Monitor (SRM) pour l’application du contrôle d’accès, et la Hardware Abstraction Layer (HAL) créant des interfaces cohérentes vers diverses plateformes matérielles. La compréhension de ces internals Windows fondamentaux fournit la base pour comprendre comment les solutions de sécurité opèrent au niveau kernel et où existent les opportunités potentielles de contournement.
EDR Internals
Un examen approfondi de la façon dont les systèmes modernes de détection et réponse endpoint collectent la télémétrie et surveillent les activités système. Cette analyse se concentre sur l’architecture multi-couches EDR combinant composants user-mode et kernel-mode, avec un accent particulier sur les pilotes kernel responsables de la surveillance bas niveau. L’article explore les callbacks kernel comme mécanisme principal de collecte de télémétrie, détaillant comment les EDR enregistrent des pointeurs de fonction qui se déclenchent sur des événements système spécifiques. La compréhension de l’intégration Event Tracing for Windows (ETW), des callbacks de surveillance de processus et threads, du tracking des opérations registre, et des notifications de chargement d’images révèle la visibilité complète que les solutions EDR obtiennent à travers le système d’exploitation et les surfaces d’attaque potentielles pour l’évasion.
EDR Killing via Attaques BYOVD
Une analyse technique approfondie des attaques Bring Your Own Vulnerable Driver (BYOVD) comme méthode sophistiquée de désactivation des solutions de sécurité endpoint. Cet article examine le processus d’exploitation de pilotes kernel signés légitimes mais défectueux pour obtenir une exécution de code en mode kernel, se concentrant sur le reverse engineering des interfaces IOCTL (Input/Output Control) de pilotes pour identifier une validation d’entrée inadéquate. Les techniques couvertes incluent l’armement de pilotes vulnérables pour terminer les processus EDR utilisant des fonctions API kernel natives comme ZwTerminateProcess, qui opère sous les hooks de sécurité user-mode. Cette approche exploite la confiance inhérente que les systèmes d’exploitation placent dans les pilotes signés pour contourner les contrôles de sécurité modernes au niveau kernel.
Contournement de Détection Statique
Techniques et méthodologies pour éviter les mécanismes de détection basés sur les signatures employés par les solutions antivirus et EDR, se concentrant sur l’obfuscation, le chiffrement et la génération de code polymorphe pour éviter la détection par analyse statique.