MISC N°
Numéro
134

Techniques de contournement des EDR

Temporalité
Juillet/Août 2024
Image v3
Techniques de contournement des EDR
Article mis en avant

Résumé

Face à la menace constante des groupes cybercriminels, entreprises comme administrations accordent de plus en plus d’importance à la protection des endpoints (ordinateurs, téléphones, tablettes) et s’équipent de logiciels nommés EDR (Endpoint Detection and Response). Ces programmes permettent de superviser un système en temps réel et d’analyser son activité via diverses sources d’informations fournies par le système d’exploitation. Toute exécution de code considérée comme malveillante est interrompue et les équipes de défense sont alertées. Malgré la complexité apparente de ce type de logiciel et les récentes avancées des technologies de détection, des techniques existent pour passer outre. Dans cet article, nous nous intéresserons aux méthodes permettant de contourner l’un des mécanismes de supervision les plus répandus, le userland hooking, via les appels système direct et indirect, mais également à la détection de ces tentatives d’évasion.