Qilin Ransomware : la menace du Bring Your Own Vulnerable Driver

Récemment, les chercheurs en sécurité de BlackPoint ont découvert que Qilin utilise une méthode appelée BYOVD (Bring Your Own Vulnerable Driver). Cette technique consiste à utiliser un pilote signé, mais qui contient des failles, pour passer à travers les systèmes de sécurité, comme les solutions de détection et de réponse aux menaces (EDR).

Dans le cas observé par BlackPoint, les attaquants ont utilisé, l’outil EDRSandblast, qui est une variante modifiée d’un outil open source conçu pour déployer le pilote TPwSav.sys. Celui-ci, développé par Toshiba, gère des fonctionnalités liées à l’économie d’énergie sur certains ordinateurs. Il contient des vulnérabilités qui permettent d’exécuter des opérations arbitraires en mémoire, notamment via des codes IOCTL (Input Output Control). 

En exploitant ces failles, les attaquants ont détourné la fonction BeepDeviceControl du pilote natif Windows Beep.sys en la remplaçant par du code shell, ce qui leur a permis d'effectuer des lectures/écritures arbitraires au niveau du noyau.

Les attaquants ont ainsi pu déployer leur rançongiciel tout en échappant à la détection.

Il est recommandé aux organisations de mettre en place des mesures de sécurité renforcées : 
-    Mettre à jour régulièrement les pilotes et logiciels pour corriger les vulnérabilités connues.
-    Surveiller les activités système au niveau des pilotes chargés et des accès mémoire.

Le CERT Santé a émis un bulletin d’alerte sur le groupe Qilin dès juillet 2024, et prévenait de l’évolution de son mode opératoire dans un autre bulletin en septembre 2024.

Pour rappel, le CERT Santé met à disposition de ses bénéficiaires une fiche réflexe de gestion préventive du risque représenté par les rançongiciels.