Fondée sur l’étude de 90 artefacts en conditions réelles, la nouvelle analyse d’ESET Research documente la montée en puissance du BYOVD, la décentralisation du choix des outils vers les affiliés RaaS, et l’émergence probable de l’IA générative comme vecteur de développement offensif.
Définition · Featured Snippet
Un EDR killer est un outil offensif conçu pour désactiver ou perturber les agents EDR (Endpoint Detection and Response) avant le déploiement d’un ransomware. La technique BYOVD (Bring Your Own Vulnerable Driver) consiste à charger un pilote signé mais vulnérable pour obtenir un accès en mode noyau (kernel-mode) et contourner les mécanismes de protection au niveau système.
Architecture d’une attaque : la phase de prep-work
Dans la chaîne d’exécution d’une attaque ransomware moderne, la neutralisation des EDR constitue une étape discrète mais déterminante. Après élévation de privilèges, les opérateurs chargent un EDR killer pour aveugler les solutions de détection avant de déployer le chiffreur. Cette séquence — reconnaissance, élévation, suppression des défenses, chiffrement — est désormais normalisée dans les manuels d’attaque (TTPs) des groupes RaaS documentés.
L’objectif opérationnel est clair : raccourcir au maximum la fenêtre d’exposition lors du déploiement du payload. Un EDR killer fiable garantit que le chiffreur s’exécute sans interférence, sans avoir à intégrer des routines d’évasion complexes directement dans le binaire principal — ce qui réduirait sa portabilité et augmenterait sa surface de détection statique.
BYOVD : prédominance et limites défensives
La technique BYOVD reste la méthode dominante. Elle repose sur l’introduction d’un pilote légitime portant une CVE exploitable — souvent un pilote industriel ou un outil de diagnostic — pour obtenir une exécution en ring 0. Sa force réside dans sa légitimité apparente : les pilotes signés Microsoft ou par des éditeurs reconnus ne peuvent être bloqués sans risquer de casser des environnements de production.
Face à cette contrainte, les mécanismes comme le Microsoft Vulnerable Driver Blocklist ou les politiques WDAC (Windows Defender Application Control) offrent une mitigation partielle. ESET souligne cependant qu’ils restent insuffisants en isolation : le corpus de pilotes vulnérables en circulation est trop vaste pour être couvert exhaustivement par des blocklists, et les attaquants adaptent régulièrement leur inventaire de drivers.
Point technique
Parallèlement au BYOVD, une catégorie croissante d’EDR killers opère sans interaction avec le noyau — en ciblant des interfaces de gestion exposées, des handles de processus, ou des mécanismes de communication inter-composants des agents EDR. Ces approches contournent les restrictions kernel-mode et complexifient la détection comportementale.
Gouvernance RaaS : le rôle structurant des affiliés
L’une des contributions analytiques majeures du rapport porte sur la gouvernance de l’outillage offensif. Dans l’architecture RaaS, les opérateurs centraux (gangs éditeurs) fournissent le chiffreur, l’infrastructure C2 et les mécanismes d’extorsion. Mais le choix des EDR killers appartient aux affiliés — les acteurs qui conduisent les intrusions initiales et les déplacements latéraux.
Cette décentralisation génère une forte hétérogénéité des outils observés sur le terrain. Elle explique également la circulation et la réutilisation intensive des bases de code entre artefacts distincts — un signal exploitable par les équipes CTI pour établir des liens de paternité entre campagnes et identifier des clusters d’affiliés partageant le même outillage.
« L’analyse des solutions commercialisées sur le dark web permet de mieux comprendre leur adoption et d’identifier des liens entre acteurs. Les développements internes, eux, éclairent le fonctionnement de groupes fermés. »
— Jakub Souček, chercheur senior, ESET Research
IA générative : signal faible, implications fortes
ESET Research introduit un angle inédit : la présence probable d’IA générative dans le cycle de développement de certains EDR killers. L’équipe identifie plusieurs marqueurs caractéristiques — structures de code génériques, logiques de retry itératives, boilerplate fonctionnel atypique pour un développement manuel — dans des artefacts récents.
L’exemple le plus documenté est un outil attribué au groupe Warlock, dont la logique centrale consiste à itérer sur un catalogue de pilotes vulnérables jusqu’à identifier un vecteur exploitable dans l’environnement cible. Ce pattern d’énumération systématique, coûteux à implémenter manuellement mais trivial à générer par LLM, constitue un indicateur convergent — sans pour autant constituer une preuve formelle.
L’implication stratégique est significative : si l’IA abaisse le coût de développement d’EDR killers fonctionnels, le rythme de renouvellement des outils pourrait s’accélérer, compliquant les approches défensives basées sur la signature ou la réputation des artefacts connus.
Stratégie défensive : déplacer le périmètre de détection
La conclusion opérationnelle du rapport est sans ambiguïté : la défense ne peut se limiter au blocage réactif de pilotes vulnérables. L’efficacité de cette approche est structurellement plafonnée par la taille du corpus de drivers exploitables et la capacité des attaquants à substituer leurs vecteurs.
ESET recommande de déplacer le périmètre de détection en amont de la phase d’exécution du driver — en instrumentant les étapes précédentes de la chaîne d’attaque : élévation de privilèges, reconnaissance des agents de sécurité présents, tentatives d’interaction avec les handles des processus EDR. Ce glissement vers une détection comportementale pré-exécution est d’autant plus critique que les attaques ransomware sont, par nature, interactives et adaptatives.
« Se défendre contre ces attaques nécessite une approche différente : contrairement aux menaces automatisées, les attaques par ransomware sont interactives et adaptatives. »
— Jakub Souček, chercheur senior, ESET Research
