Ransomware IAB abuses EDR for stealthy malware execution
Mis à jour :
IAB Storm-0249 Exploite les Outils de Sécurité pour les Attaques de Ransomware
Un courtier en accès initial identifié sous le nom de Storm-0249 utilise désormais des méthodes sophistiquées pour infiltrer les systèmes et préparer des attaques de ransomware. Ces techniques avancées contournent les défenses traditionnelles, même lorsqu’elles sont bien documentées.
L’attaquant exploite les composants des solutions de détection et de réponse des points d’extrémité (EDR), notamment SentinelOne, pour dissimuler ses activités malveillantes. D’autres solutions EDR pourraient également être vulnérables à des méthodes similaires.
L’une des tactiques observées implique un hameçonnage social utilisant “ClickFix” pour inciter les victimes à exécuter des commandes curl dans la boîte de dialogue “Exécuter” de Windows. Cela permet de télécharger un paquet MSI malveillant avec des privilèges système. Un script PowerShell est ensuite chargé directement en mémoire, évitant ainsi toute détection sur disque.
Le paquet MSI dépose une DLL malveillante (SentinelAgentCore.dll) à côté d’un exécutable légitime de SentinelOne (SentinelAgentWorker.exe). L’attaquant exploite ensuite une technique de “DLL sideloading” : l’exécutable légitime est utilisé pour charger la DLL malveillante. Cela permet d’exécuter le code de l’attaquant sous le couvert d’une activité EDR de confiance, assurant ainsi une persistance furtive qui résiste aux mises à jour du système d’exploitation. Les activités malveillantes apparaissent comme des opérations normales de SentinelOne, échappant ainsi aux mécanismes de sécurité.
Une fois l’accès établi, l’attaquant utilise le composant EDR compromis pour collecter des identifiants système via des utilitaires Windows légitimes comme reg.exe et findstr.exe. Ces requêtes et recherches, normalement suspectes, sont ignorées car exécutées dans un processus de confiance. Les informations collectées, telles que le “MachineGuid”, sont utilisées par les groupes de ransomware pour lier les clés de chiffrement à des victimes spécifiques, suggérant que Storm-0249 adapte ses compromissions initiales aux besoins de ses clients affiliés ransomware.
Points Clés:
- Storm-0249 utilise des méthodes furtives pour l’accès initial aux réseaux.
- Exploitation des solutions EDR, en particulier SentinelOne, pour masquer les activités malveillantes.
- Utilisation de la “DLL sideloading” via des processus signés et de confiance.
- Exécution de code malveillant en mémoire pour éviter la détection sur disque.
- Collecte d’identifiants système via des utilitaires Windows légitimes sous couvert d’activités EDR.
- Profilage des systèmes compromis pour des attaques de ransomware ciblées.
Vulnérabilités (avec CVE si possible):
Aucune CVE spécifique n’est mentionnée dans l’article concernant la vulnérabilité des EDR ou des utilitaires Windows dans ce contexte d’exploitation. L’exploitation repose sur des techniques connues de “DLL sideloading” et d’utilisation d’outils légitimes, sans révéler de vulnérabilités logicielles spécifiques avec des identifiants CVE.
Recommandations:
- Se fier à la détection basée sur le comportement, ciblant spécifiquement les processus de confiance chargeant des DLL non signées depuis des emplacements non standards.
- Mettre en place des contrôles plus stricts sur l’exécution des commandes
curl, PowerShell et des binaires d’administration et de maintenance (LoLBins).