Ransomware Qilin : un outil pour rendre aveugles plus de 300 EDR

Anatomie technique d'un « EDR Killer » : l'analyse de la chaîne d'infection Qilin

L'architecture de l'attaque observée dans la campagne Qilin repose sur une chaîne d'infection soigneusement orchestrée, masquée sous l'apparence d'une bibliothèque système légitime, msimg32.dll. Cette fausse DLL est généralement chargée side-loadée par une application légitime, exploitant le mécanisme de chargement natif de Windows pour exécuter son code dès le chargement de l'application hôte via sa fonction DllMain.

Le premier étage de l'infection est un chargeur d'exécutable portable (PE) complexe qui ne modifie pas les binaires sur le disque. Il prépare l'environnement d'exécution pour la charge en mémoire du module destructeur en utilisant des techniques d'obfuscation avancées. Le chargeur utilise la gestion structurée des exceptions (SEH) et la gestion vectorielle des exceptions (VEH) pour masquer le flux de contrôle et dissimuler les motifs d'appel aux API aux systèmes de surveillance en temps réel. Il réinitialise également la gestion des points d'entrée des appels système (syscalls) pour contourner les ancrages de supervision installés par les solutions EDR.

Après avoir désactivé les mécanismes de surveillance au niveau utilisateur, le chargeur transfère l'exécution aux étapes suivantes. La seconde étape sert de mécanisme de transition furtif, manipulant la table des adresses d'importation pour rediriger l'exécution lors de la terminaison du processus, garantissant que le code malveillant s'exécute sans éveiller les soupçons pendant le processus de lancement initial. La troisième étape décompresse et charge le module principal, le « tueur d'EDR », en utilisant des mécanismes VEH sophistiqués pour intercepter les appels de chargement de DLL et les mappings de mémoire, assurant ainsi un déploiement totalement en mémoire.

L'arme du roi : l'usurpation de pilotes signés et l'accès à la mémoire physique

Le mécanisme central permettant la neutralisation massive des défenses repose sur l'abus de pilotes signés légitimes, une technique connue sous le nom de Bring Your Own Vulnerable Driver (BYOVD). Dans le cas de Qilin, l'attaquant utilise une version usurpée du pilote rwdrv.sys, initialement développé par TechPowerUp pour l'outil de diagnostic hardware ThrottleStop. Ce pilote est signé numériquement avec un certificat valide, ce qui lui permet de s'exécuter au niveau du noyau sans être bloqué par les mécanismes de signature obligatoire de Windows.

Cisco Talos explique que le maliciel « utilise une version renommée du pilote "rwdrv.sys", initialement distribué par TechPowerUp LLC et signé avec un certificat valide. Il est utilisé légitimement par des outils tels que GPU-Z et ThrottleStop. [...] Bien que son origine soit bénigne, le pilote expose des fonctionnalités puissantes et peut être chargé par des applications arbitraires en mode utilisateur. De manière critique, il implémente ces capacités sans imposer de contrôles de sécurité significatifs ».

Ce pilote usurpé expose une interface de contrôle à l'espace utilisateur (IOCTL) offrant des capacités d'accès matériel extrêmement privilégiées. Il permet l'accès direct aux ports matériels, aux registres spécifiques au modèle de processeur (MSR), et surtout à la mémoire physique brute. Cette capacité est exploitée pour modifier des structures de données critiques au niveau du noyau sans avoir besoin de modifier les images binaires des systèmes de sécurité.

Grâce à cet accès direct, le module destructeur est en mesure d'interagir avec les pilotes EDR installés pour supprimer leurs appels de rappel (callbacks). Il itère à travers une liste de plus de 300 pilotes de sécurité, localise les pointeurs de ces callbacks dans la mémoire physique et les remplace par des pointeurs vides ou des routines inoffensives. Cela rend les solutions de sécurité incapables de détecter les créations de processus, les modifications de thread ou le chargement de nouvelles images. Une fois les mécanismes de surveillance désactivés, un second pilote auxiliaire, hlpdrv.sys, est utilisé pour forcer la terminaison des processus de sécurité actifs, rendant l'infrastructure totalement aveugle.

A-delà de la sécurité, la vulnérabilité des plans de reprise

La neutralisation des solutions EDR ne se traduit pas seulement par une perte de visibilité immédiate, mais active une cascade de risques opérationnels qui compromettent la capacité de l'organisation à survivre à l'attaque. En rendant les défenses périphériques aveugles, les attaquants disposent de la latitude nécessaire pour attaquer directement l'infrastructure de récupération et de communication.

Cette synergie entre la neutralisation de la sécurité et la destruction des infrastructures de reprise crée une crise organisationnelle majeure. Le temps de rétablissement est considérablement prolongé, car les organisations sont obligées de reconstruire leurs environnements virtualisés et leurs sauvegardes à partir de zéro, sans disposer d'outils de diagnostic ou de sauvegarde opérationnels. La simple réinstallation du système d'exploitation ne suffit plus si les sauvegardes sont corrompues ou si l'intégrité du matériel de stockage est compromise.