Contourner l’EDR ? Miser sur des objets connectés non supervisés

Les systèmes de détection et de réponse sur les serveurs et postes de travail (Endpoint Detection and Response, ou EDR) font chaque jour un peu plus la démonstration de leur efficacité. Mais ils ne suffisent pas toujours.

De nombreux efforts de contournement des EDR ont été documentés depuis plusieurs années. Lors de l’implosion du groupe Conti, à la suite de l’invasion de l’Ukraine par la Russie en février 2022, des conversations internes à cette PME de la cybercriminalité ont exposé au grand jour ses intérêts pour le sujet. 

Mais ces efforts de contournement de l’EDR visent surtout à passer inaperçus, voire à désactiver le système. Il y a toutefois une autre approche. Les équipes de S-RM y ont été confrontées.

Dans un billet de blog, elles expliquent ainsi avoir été récemment confrontées à un incident impliquant l’enseigne de ransomware Akira : « l’organisation victime avait déployé l’EDR sur les hôtes de son réseau. L’EDR a identifié et mis en quarantaine le binaire rançongiciel ». Une bataille de gagnée, mais pas la guerre.

Loin de se déclarer vaincu, l’assaillant a mis en œuvre une nouvelle tactique. Capitalisant sur son travail de reconnaissance initial, il a tourné son attention vers des équipements connectés du monde de l’IoT. Son balayage du réseau lui avait permis de repérer des caméras connectées et un scanneur d’empreintes digitales. 

Bingo : une webcam connectée sur le même segment réseau était affectée par plusieurs vulnérabilités critiques ; de quoi la compromettre puis, de là, attaquer un serveur à partir duquel se redéployer et chiffrer largement l’environnement.

Dans un billet publié début février, Florian Roth (de Nextron Systems) alertait justement sur un tel scénario : « les attaquants ciblent souvent des dispositifs qui ne sont pas couverts par les solutions EDR modernes, comme les anciens serveurs, les appliances virtuelles ou les appliances réseau de fournisseurs tels que Fortinet, Ivanti et Cisco ». 

Et cela tout simplement parce que « ces appareils souffrent non seulement de vulnérabilités critiques récurrentes, mais offrent également une journalisation limitée et un shell restreint, ce qui les rend difficiles à examiner en profondeur ». 

Une opportunité remarquable : « en se concentrant sur ces “angles morts”, les attaquants peuvent stocker des outils malveillants, lancer des intrusions plus profondes et exfiltrer des données sans déclencher les alarmes habituelles de l’EDR ».

Dans ce contexte, la détection des menaces dans le réseau, avec une solution de NDR, peut apporter le complément de visibilité nécessaire. D’aucuns combinent d’ailleurs ouvertement EDR et NDR, à l’instar de la Matmut, ou encore de Lynred, voire le GHT Aisne-Nord Haute-Somme et le conseil départemental du Tarn. Advens avait adopté une telle approche, avec HarfangLab et Nozomi, pour les Jeux olympiques de Paris. Une segmentation réseau rigoureuse peut aussi apporter une couche de prévention bienvenue.