Ransomware : Désactiver l'EDR, une nouvelle norme alarmante
Origines et historique
Depuis 2020-2021, la neutralisation des EDR est devenue, pour de nombreux opérateurs de ransomware, une étape planifiée et systématique du cycle d'intrusion¹. À l'origine, les attaquants comptaient surtout sur des techniques de polymorphisme ou sur la furtivité de leur code pour échapper aux signatures. Ce n'est plus suffisant: les EDR modernes apportent de la visibilité continue et des réponses automatisées qui rendent les tactiques anciennes trop risquées. Selon LeMagIT, mettre un EDR hors service est désormais considéré par certains groupes comme une condition préalable au chiffrement¹.
Cette évolution s'explique par deux facteurs complémentaires. D'une part, les produits EDR ont gagné en maturité: détection comportementale, corrélation locale et capacités de remédiation rapide. D'autre part, les extorsionneurs ont affûté leurs playbooks pour inclure des phases dédiées à l'identification et à la neutralisation des protections. Les incidents récents montrent que des équipes adverses peuvent passer des heures, parfois des jours, à inventorier les protections déployées et à désactiver méthodiquement les services de sécurité avant d'initier le déploiement du ransomware²³. L'usage croissant de binaires légitimes présents sur le système - les 'living-off-the-land binaries' (LOLBAS) - illustre cette stratégie d'opportunisme et de furtivité².
Fonctionnement technique
Phase de reconnaissance ciblée
Avant toute action destructive, les attaquants cherchent à dresser une cartographie précise de la cible: solutions antivirus et EDR installées, services en cours, politiques AMCI/AMSI, et comptes disposant de privilèges élevés. Pour cela ils utilisent des commandes et outils natifs: interrogations WMI, lecture du registre Windows (par ex. reg query HKLM\Software\Microsoft), interrogation des services avec tasklist ou sc query, et scripts PowerShell pour extraire la télémétrie locale. L'exploration Active Directory sert à repérer des comptes de service et des groupes à privilèges qui faciliteront la phase suivante.
Outils fréquemment observés: PowerShell (pour exécutions en mémoire), utilitaires WMIC, netstat, et la suite Sysinternals lorsque disponible. Les attaquants combinent ces éléments pour produire un inventaire opérationnel qui guide leurs actions de neutralisation.
Méthodes de neutralisation des agents EDR
Les tactiques se répartissent en grandes familles que les opérateurs ajustent en fonction de la cible et de l'EDR rencontré:
- Arrêt des services - Commandes classiques sc.exe stopou net stop, et en PowerShell Stop-Service -Name. Pour empêcher le redémarrage automatique, ils modifient la configuration de démarrage: sc configstart= disabled.
- Suppression et altération - Suppression des binaires, écrasement des librairies, suppression ou modification de clés de registre qui pilotent les démarrages, et réglages des paramètres familiaux de Windows Defender ou AMSI afin de réduire les protections natives.
- Abus d'outils légitimes - Utilisation de PsExec, schtasks, msiexec ou d'un RMM compromis pour exécuter des charges utiles avec des identifiants de maintenance, limitant ainsi l'apparition d'alertes classiques. Ces moyens donnent à l'attaquant une apparence d'opérations administratives.
- Contournements en mémoire - Exécution fileless via PowerShell encodé ou chargement dynamique de modules en mémoire pour éviter les scans de fichiers. Des techniques AMSI-bypass sont souvent combinées à ces approches.
- Désactivation de la télémétrie - Réduction ou suppression des journaux locaux et de la télémétrie remontée, ce qui complique l'analyse post-incident et ralentit la réponse.
Les opérateurs n'utilisent pas une seule méthode: ils composent des séquences pour réduire le risque d'interruption ou de détection lors des phases de déplacement latéral et de chiffrement.
Outils commerciaux et tiers
L compromission de solutions RMM et d'outils d'administration centralisée est devenue un accélérateur d'attaque. Un compte RMM compromis permet d'exécuter à distance des commandes de maintenance légitimes sur des centaines ou milliers de postes, facilitant des déploiements massifs sans déclencher d'alertes locales³. Les adversaires investissent parfois dans des infrastructures et des comptes compromis plutôt que de réinventer des malwares, car l'effet dissimulé d'une opération signée ou légitime est plus difficile à contrer.
Schéma sommaire d'une chaîne d'actions
- Accès initial (phishing, RDP exposé, exploit de vulnérabilité).
- Escalade de privilèges et exploration de l'environnement (AD, comptes, outils de sécurité).
- Identification des agents EDR et planification de la neutralisation.
- Exécution via outils légitimes (PsExec, schtasks, RMM) pour arrêter ou contourner des services.
- Neutralisation ou écrasement des protections et désactivation de la télémétrie.
- Mouvement latéral et chiffrement des données.
Études de cas
Cas 1: Opérations d'un groupe notoire - tactique EDR-first
Dans un incident récent, un opérateur a utilisé des sessions RDP valides pour installer des scripts PowerShell qui désactivaient les agents de sécurité, puis a lancé un outil RMM pour diffuser le ransomware sur environ 200 machines en moins de deux heures¹. La préparation minutieuse et l'utilisation d'outils administratifs ont réduit la fenêtre d'opportunité d'intervention des équipes de sécurité.
Cas 2: Compromission via RMM
Plusieurs campagnes ont montré que des consoles RMM compromises servent de vecteur principal pour des déploiements massifs. La nature légitime des opérations lancées depuis ces consoles retarde souvent la génération d'alertes et rend la traçabilité plus complexe³.
Cas 3: Exécution fileless et altération des logs
Un autre cas documenté concernait une exécution majoritairement en mémoire avec des contournements AMSI combinés à une suppression sélective de la télémétrie. Les services EDR ont été simultanément ciblés pour diminuer les événements remontés, ce qui a ralenti les investigations et complexifié la remédiation².
Ces exemples confirment que la neutralisation des protections est devenue une étape routinière dans des schémas d'attaque contemporains.
Perspectives et recommandations opérationnelles
Les playbooks offensifs vont sans doute continuer à se sophistiquer: automatisation des étapes de reconnaissance d'EDR, scripts tests adaptés à chaque solution, et focalisation accrue sur les contrôles d'administration (RMM, consoles cloud, comptes à privilèges). La double extorsion, combinant chiffrement et exfiltration, restera une tactique payante pour les groupes disposant d'accès prolongés²³.
Côté défense, trois axes concrets réduisent significativement le risque lié à la neutralisation des EDR:
- Durcir les identités et réduire les privilèges - Restreindre les administrateurs locaux, appliquer le principe du moindre privilège, et exiger une authentification forte (MFA) pour tous les comptes critiques. Isoler et surveiller les comptes de service utilisés par les consoles RMM.
- Détection comportementale et corrélation - Déployer des règles qui corrèlent l'arrêt massif de services de sécurité à d'autres signaux (création de tâches planifiées, modifications de registre sensibles, exécution depuis chemins atypiques) et enclencher des investigations automatisées. L'efficacité d'un EDR augmente quand il est intégré à la télémétrie réseau et à un SIEM/SOAR centralisé².
- Segmentation réseau et sauvegardes immuables - Segmenter les environnements pour empêcher les déploiements massifs et garantir des sauvegardes hors-ligne ou immuables afin de pouvoir restaurer les opérations même si les protections locales sont neutralisées. Ces mesures figurent parmi les recommandations opérationnelles publiées par des agences spécialisées²³.
Enfin, il faut tester régulièrement la posture: exercices de red team, audits de configuration EDR et simulation d'attaque ciblant les chaînes de mise à jour et les consoles d'administration. Penser l'attaque dans son ensemble, en intégrant systématiquement la neutralisation des protections, aide à combler les angles morts.
