Qilin et Warlock : Ransomware exploitant des pilotes vulnérables

LockSelf Team

6 min de lecture
Partager
Qilin et Warlock : Ransomware exploitant des pilotes vulnérables

Analyse technique

Chaîne d'attaque et phase initiale

Les campagnes récentes observent un schéma d'intrusion devenu récurrent : phishing ou compromission d'identifiants, exploitation d'applications vulnérables et, parfois, usage d'un accès RDP volé. Une fois l'accès initial obtenu, l'opérateur privilégie souvent des techniques en espace utilisateur pour masquer ses traces, puis recourt à un pilote signé tiers vulnérable pour franchir la barrière noyau.

Concrètement, le scénario se déroule en étapes successives et coordonnées :

  • Exécution initiale via un exécutable détourné ou un script PowerShell.
  • Dépôt et chargement d'une DLL malveillante via DLL sideloading (exemple récurrent : msimg32.dll), utilisée pour assurer persistance et orchestration.
  • Installation d'un pilote signé vulnérable (BYOVD) afin d'accéder à des primitives noyau sans signer soi-même un pilote.
  • Utilisation d'IOCTLs exposés par ce pilote pour écrire en mémoire noyau, modifier structures critiques ou désactiver les mécanismes de télémétrie de l'EDR.
  • Neutralisation des protections avant déploiement d'un composant de chiffrement ou d'exfiltration.

L'analyse de Cisco Talos documente précisément l'utilisation de msimg32.dll dans la campagne Qilin, et montre comment l'usage d'un pilote vulnérable a permis d'accéder à des primitives noyau pour contourner des protections².

Mécanismes noyau employés

L'intérêt opérationnel du BYOVD (Bring Your Own Vulnerable Driver) est simple : il évite la contrainte de développer et signer un pilote, tout en offrant des capacités puissantes en mode noyau. Sur le terrain, les opérateurs exploitent plusieurs fonctions critiques :

  • Ecriture arbitraire en mémoire noyau via un IOCTL vulnérable, ce qui autorise le patching à la volée des contrôles EDR ou la modification des tables de fonctions.
  • Suppression ou corruption des callbacks (création de processus, chargement d'images) pour empêcher l'EDR d'observer le payload.
  • Altération des DEVICE_OBJECT et des dispatch routines pour briser la communication entre la couche noyau des solutions de sécurité et leur composant en espace utilisateur.
  • Manipulation des structures de gestion mémoire et de la table des services du noyau (SSDT) pour compliquer l'identification et la récupération des artefacts malveillants.

Ces techniques ont été relevées dans plusieurs campagnes récentes, dont Qilin et Warlock, où les opérateurs ont pu neutraliser la visibilité des EDR juste avant de lancer le chiffrement³.

Exemple technique précis (flux d'opérations simplifié)

  • Accès initial : l'attaquant obtient l'exécution et place msimg32.dll dans le répertoire d'une application vulnérable.
  • Chargement : l'application charge la DLL par sideloading ; la DLL installe une persistance (service Windows, tâche planifiée).
  • Déploiement du pilote : la DLL copie un pilote signé vulnérable sur le disque puis l'installe via sc.exe ou en créant un service de pilote.
  • Exploitation : l'attaquant invoque un IOCTL spécifique du pilote pour obtenir une écriture arbitraire en mémoire ; il patch ensuite les callbacks de l'EDR et supprime ses points d'observation.
  • Exécution finale : une fois les hooks neutralisés, le binaire de chiffrement est déclenché et l'exfiltration peut avoir lieu avant ou pendant le chiffrement.

Cette chaîne a été observée dans la campagne Qilin où msimg32.dll a servi de vecteur de sideloading en combinaison avec un pilote vulnérable².

Surface d'attaque et facteurs aggravants

Illustration cybersécurité

Les organisations les plus exposées partagent plusieurs défauts :

  • Autorisation trop large de chargement de pilotes signés par des tiers sans validation approfondie.
  • Présence de pilotes hérités, non mis à jour ou issus de fournisseurs peu vigilants.
  • Configuration insuffisante des protections d'intégrité du noyau (Secure Boot mal activé ou absent) et politiques de signature permissives.
  • Déploiement d'EDR limités à l'espace utilisateur, incapables de détecter des manipulations directement en mode noyau.

Le phénomène a un impact large : plusieurs rapports indiquent que plus de 300 produits EDR ont été visés par des campagnes exploitant des pilotes vulnérables¹. Dans certains incidents, la neutralisation des dispositifs de sécurité a permis aux opérateurs d'agir sans être détectés pendant plusieurs jours³.

Impacts business

Le recours aux pilotes vulnérables n'est pas seulement un sujet technique. Il dégrade la visibilité, rallonge le temps de détection et augmente les coûts directs et indirects des incidents.

  • Visibilité et dwell time : quand la télémétrie est compromise, le temps moyen d'investigation s'alourdit. Les attaquants profitent de cette fenêtre pour exfiltrer des données avant d'activer un chiffrement complet.
  • Extorsion et coûts directs : le contournement des EDR augmente sensiblement le taux de réussite des attaques par chiffrement, ce qui explique la hausse des demandes de rançon observée dans les enquêtes publiques. Les analyses sectorielles confirment l'augmentation des coûts liés aux incidents de ransomware⁴.
  • Coûts opérationnels et réputation : interruption de service, perte de productivité, dégradation de la confiance client et risques réglementaires en cas de fuite de données personnelles. Les études de marché montrent des niveaux de coût très élevés pour les organisations touchées⁴.
  • Pression sur le portefeuille sécurité : l'ampleur des pilotes vulnérables ciblés pousse à reconsidérer les investissements et la confiance accordée aux composants tiers. Les équipes sécurité doivent redéfinir priorités et budgets en conséquence.

Recommandations

Gouvernance et inventaire

  • Maintenez un inventaire exhaustif des pilotes noyau autorisés, avec versioning et processus d'acceptation formel.
  • Appliquez une politique de confiance minimale : n'autorisez le chargement de pilotes signés que pour des fournisseurs approuvés et après validation technique.

Renforcement technique

  • Activez Secure Boot et renforcez les politiques de signature des pilotes (Kernel Mode Code Signing) pour limiter les chargements non approuvés.
  • Segmentez les environnements et réduisez les privilèges des comptes pour limiter la surface d'attaque initiale.
  • Patchs : mettez à jour pilotes et logiciels endpoint régulièrement ; retirez immédiatement les pilotes non maintenus.
  • Déployez des protections d'intégrité du noyau (HVCI/Kernel DMA Protection) lorsque l'infrastructure le permet.

Détection et réponse

  • Surveillez les événements liés aux drivers : création de services pilotes, installation de binaires signés inattendus, appels IOCTL anormaux et modifications d'objets DEVICE ou de la SSDT.
  • Renforcez la collecte des journaux bas niveau (événements noyau, ETW) et corrélez-les avec la télémétrie réseau pour détecter une exfiltration en amont du chiffrement.
  • Vérifiez périodiquement l'intégrité des hooks EDR en mémoire et conservez des référentiels d'images saines pour comparaison.
  • Préparez playbooks et exercices tabletop centrés sur le scénario BYOVD.

Approche contractuelle et supply chain

  • Exigez des fournisseurs des preuves de sécurisation des pilotes, bulletins de vulnérabilité et un engagement de correction rapide.
  • Intégrez des clauses contractuelles pour la notification d'incidents et la gestion d'urgence liée aux composants fournis.

Mesures préventives opérationnelles

  • Appliquez le principe du moindre privilège et renforcez l'authentification pour tous les accès distants.
  • Adoptez des sauvegardes immuables et validez régulièrement les procédures de restauration pour limiter le levier de l'extorsion.

L'évolution des campagnes Qilin et Warlock montre que la confiance aveugle dans un pilote signé est dangereuse : il faut combiner contrôles techniques, processus d'achat rigoureux et surveillance renforcée pour réduire le risque et limiter l'impact opérationnel² ³ ¹ .

Questions fréquentes

Quels indicateurs permettent de repérer un BYOVD sur un poste ou un serveur ?

Sur le plan technique, surveillez l'apparition de services pilotes inconnus, l'installation de binaires signés par des fournisseurs inattendus, des appels IOCTL anormaux, des modifications d'objets DEVICE_OBJECT et des altérations de la SSDT. Corrélez ces signes avec des mouvements latéraux ou des flux réseau suspects pour prioriser l'investigation¹ ² ³.

Pourquoi un pilote signé peut-il représenter un risque important ?

La signature atteste de l'origine mais pas de l'absence de vulnérabilités. Des pilotes anciens ou mal conçus peuvent exposer des IOCTL vulnérables permettant des écritures arbitraires en mémoire noyau. Des opérateurs malveillants exploitent ces failles pour obtenir des primitives noyau sans devoir signer leur propre pilote².

Quelles actions immédiates effectuer après la détection d'un pilote suspect ?

Isoler la machine du réseau, collecter la mémoire et les journaux (dump mémoire, ETW), tenter de désinstaller le pilote si cela ne compromet pas l'enquête, vérifier l'intégrité des hooks EDR et, si nécessaire, planifier un rebuild contrôlé des systèmes compromis. Une réponse coordonnée avec l'équipe juridique et les fournisseurs est recommandée² ³.

Les EDR sont-ils dépassés face au BYOVD ?

Les EDR conservent une valeur significative, mais leur efficacité dépend de la protection du noyau et de la capacité à détecter des comportements anormaux indépendamment des hooks. Une défense en profondeur, avec télémétrie réseau, contrôle d'intégrité et collecte bas niveau, réduit le risque de contournement¹ ³.

Sources

Lire la suite