La cybersécurité pour les entreprises

Une plongée en profondeur dans la détection des appels système directs malveillants

Comment le moteur d'analyse de Cortex XDR détecte les appels système directs malveillants

Recherche ITFunk
Recherche ITFunk
Une plongée en profondeur dans la détection des appels système directs malveillants

Présentation

Les solutions de détection et de réponse aux terminaux (EDR) sont devenues essentielles à la cybersécurité moderne, assurant une surveillance constante des terminaux (ordinateurs et serveurs) d'une organisation. Ces outils suivent et analysent les données des terminaux, permettant d'identifier et d'atténuer les menaces en temps réel. Cependant, face à la sophistication croissante des cyberattaques, les attaquants trouvent constamment des moyens de contourner ou d'échapper à la surveillance EDR.

Table des matières

Une vulnérabilité majeure de nombreuses solutions EDR réside dans leur dépendance à la surveillance des appels d'API, qui suivent les actions des processus sur les terminaux. Pour éviter d'être détectés, les attaquants ont souvent recours à l'une des techniques d'évasion les plus efficaces : les appels système directs.

Cet article expliquera le mécanisme derrière les appels système directs, comment les attaquants les utilisent pour contourner les EDR et comment la surveillance en mode noyau de Cortex XDR est capable de détecter ces attaques furtives.

Flux d'appels système Windows

Avant de discuter des appels système directs, il est important de comprendre comment fonctionne un appel système typique (syscall) dans Windows.

A appel système est une instruction permettant à une application utilisateur de demander un service au noyau, comme interagir avec le matériel, lire un fichier ou envoyer des données sur un réseau. Les appels système sont initiés par l'invocation de fonctions présentes dans les bibliothèques système, telles que ntdll.dll or win32u.dll.

Dans un flux d'appel système Windows conventionnel :

  1. Une application en mode utilisateur fait un appel à une API de haut niveau comme CreateFileW in kernel32.dll.
  2. Cette fonction API appelle une fonction de niveau inférieur dans kernelbase.dll.
  3. Finalement, l'appel système atteint l'API native NtCreateFile in ntdll.dll, où l'appel système réel a lieu.

Ce processus implique un stub d’appel système qui exécute l’instruction syscall, qui communique ensuite avec le noyau pour effectuer la tâche demandée.

Comment la plupart des EDR surveillent les appels API

La plupart des solutions EDR surveillent les appels système et les appels API en accrocher dans les DLL Windows. Une technique courante consiste à accrochage en ligne, qui intercepte les appels à certaines fonctions. Le hooking en ligne modifie le prologue de fonctions comme CreateFileW rediriger l'exécution vers un proxy EDR. Ce proxy peut alors analyser ou bloquer l'opération.

Par exemple, le hook en ligne peut rediriger le flux d’exécution depuis CreateFileW à une fonction EDR, qui à son tour appelle la fonction d'origine et permet à l'EDR de surveiller l'action.

Comment les attaquants contournent la plupart des EDR

Bien que les solutions EDR utilisent efficacement les hooks en ligne pour surveiller les appels d'API, les attaquants ont trouvé des moyens de les contourner. De nombreuses techniques de contournement EDR impliquent la manipulation des hooks en mode utilisateur sur lesquels s'appuient les EDR, par exemple :

  1. Chargement manuel des DLLLes attaquants peuvent charger une DLL propre et non cryptée grâce au chargement de DLL réflectif. Cela contourne les intrusions EDR en chargeant la DLL directement en mémoire, évitant ainsi les intrusions installées par les EDR.
  2. Clonage de DLL:En copiant une DLL accrochée vers un nouvel emplacement et en la chargeant sous un nom différent, les attaquants peuvent éviter la détection puisque l'EDR n'accroche pas la nouvelle DLL.
  3. Appel système direct:La technique la plus efficace et la plus furtive est la appel système directEn contournant complètement les hooks du mode utilisateur, les attaquants peuvent invoquer des appels système directement depuis leur propre code, empêchant ainsi l'EDR de surveiller ces actions. Au lieu de passer par l'API Windows et ntdll.dllLes attaquants implémentent l'appel système directement dans leur application en utilisant l'index d'appel système approprié. Dans ce cas, ils appellent l'instruction d'appel système avec l'index et les paramètres corrects, transférant ainsi le contrôle directement au noyau pour exécution. Cela complique considérablement la détection des comportements malveillants par les EDR.

Cortex XDR et détection directe des appels système

Contrairement à la plupart des solutions EDR, CortexXDR emploie interception des appels système en mode noyau, qui offre une visibilité plus approfondie et une plus grande résistance aux techniques de contournement du mode utilisateur. Cortex XDR utilise CADRE_KTRAP Structure qui enregistre l'état du système lors d'un appel système, y compris le contexte et les registres du mode utilisateur. Cela permet à Cortex XDR de suivre les appels système directement depuis le noyau, même lorsque les hooks du mode utilisateur sont contournés.

Pour chaque appel système intercepté, Cortex XDR extrait le RIP (retour du pointeur d'instruction) à partir du KTRAP_FRAME et le résout dans le module en mode utilisateur correspondant à l'aide d'un composant appelé ImageTracker. Si l'adresse de retour n'est pas associée à ntdll.dll or win32u.dll (comme c'est le cas avec les appels système directs), Cortex XDR signale l'événement et enquête plus en détail.

Les appels système directs sont-ils malveillants ?

Bien que les appels système directs puissent effectivement être le signe d'une activité malveillante, ils ne sont pas intrinsèquement malveillants. Les logiciels légitimes, notamment les produits de sécurité, les logiciels anti-triche pour jeux vidéo et les applications basées sur Chromium, utilisent également des appels système directs à des fins légitimes. Il est donc difficile de distinguer les utilisations bénignes des utilisations malveillantes des appels système directs en fonction des événements individuels.

Comment le moteur d'analyse de Cortex XDR détecte les appels système directs malveillants

Pour relever le défi de distinguer les appels système directs légitimes des appels système malveillants, CortexXDR emploie ses Moteur d'analyseCe mécanisme d'apprentissage agrège les données en temps réel des agents Cortex XDR afin d'établir des références de comportement « normal ». Le moteur utilise ces références pour détecter toute activité anormale s'écartant des schémas établis.

Le moteur d'analyse répond à des questions clés telles que :

  • Dans quelle mesure cet appel système direct est-il courant pour l’environnement actuel ?
  • Ce processus est-il connu pour exécuter régulièrement des appels système directs ?
  • À quelle fréquence un emplacement mémoire spécifique déclenche-t-il un appel système direct ?

En analysant ces comportements et en agrégeant les données locales et globales, le moteur d’analyse peut détecter les comportements inhabituels ou malveillants avec une grande confiance.

Exemple concret : Lumma Stealer

Un excellent exemple de la façon dont Cortex XDR détecte les appels système directs en action est le Voleur de Lumma Malware. Lumma Stealer, un outil de vol d'informations, cible les portefeuilles de cryptomonnaies et les extensions de navigateur 2FA. Une fois exécuté, il charge un shellcode dans le mshtml.dll et invoque directement des appels système en exploitant des techniques d'appels système directs. Le logiciel malveillant utilise ntdll.dll bibliothèque pour extraire l'index d'appel système correct, puis effectue son attaque en contournant la surveillance EDR.

Cortex XDR, grâce à son moteur avancé de détection et d'analyse des appels système, a pu signaler le comportement inhabituel déclenché par les appels système directs de Lumma Stealer, permettant une détection et une réponse rapides.

Conclusion

Les appels système directs constituent une technique puissante pour les attaquants cherchant à contourner les solutions EDR traditionnelles. En opérant au niveau du noyau et en évitant les hooks en mode utilisateur, ils restent invisibles à de nombreux outils de surveillance. Cependant, avec Détection des appels système en mode noyau de Cortex XDR et la puissance du Moteur d'analyseLes appels système directs malveillants peuvent être détectés même lorsque les méthodes EDR conventionnelles échouent. En exploitant des techniques avancées telles que CADRE_KTRAP Grâce à l'analyse et au profilage comportemental en temps réel, Cortex XDR garantit que les menaces telles que Lumma Stealer sont rapidement identifiées et neutralisées.

Pour les organisations qui cherchent à renforcer leurs défenses contre des attaques de plus en plus sophistiquées, l’adoption de solutions offrant une visibilité au niveau du noyau, comme Cortex XDR, est une étape cruciale.

La cybersécurité pour les entreprises

Votre entreprise est confrontée à des cybermenaces en constante évolution qui peuvent compromettre des données sensibles, perturber les opérations et nuire à votre réputation. cybersécurité pour les solutions d'entreprise sont conçus pour répondre aux défis uniques des entreprises de toutes tailles, offrant une protection robuste contre les logiciels malveillants, le phishing, les ransomwares, etc.

Que vous soyez une petite start-up ou une grande entreprise, nous proposons des packages de cybersécurité multi-licences qui garantissent une protection transparente pour l'ensemble de votre équipe, sur tous les appareils. Grâce à des fonctionnalités avancées telles que la surveillance des menaces en temps réel, la sécurité des terminaux et le cryptage sécurisé des données, vous pouvez vous concentrer sur la croissance de votre entreprise pendant que nous nous occupons de vos besoins en matière de sécurité numérique.

Obtenez un devis gratuit aujourd'hui! Protégez votre entreprise avec des solutions abordables et évolutives. Contactez-nous dès maintenant pour demander un devis gratuit pour des packages de cybersécurité multi-licences conçus pour assurer la sécurité et la conformité de votre entreprise. N'attendez pas : protégez votre entreprise avant que les menaces ne frappent !

Obtenez votre devis ici
Pourquoi la cybersécurité est importante pour les petites et moyennes entreprises (PME)
Les meilleurs outils de cybersécurité pour prévenir les cybermenaces en 2026
Comment fonctionnent les pare-feu pour les petites entreprises ? Un guide complet de la sécurité réseau
Liste de contrôle de cybersécurité pour les entreprises : Étapes essentielles pour protéger votre entreprise
Qu’est-ce que la sécurité des terminaux pour les entreprises, en termes simples ?
MARQUÉ:
Partager cet article
article précédent Comment jailbreaker DeepSeek : déverrouiller l'IA sans restrictions
article suivant Supprimer l'application Caveqn
Laisser un commentaire

Laissez un commentaire

Votre adresse courriel n'apparaitra pas. Les champs obligatoires sont marqués *

Analysez votre système à la recherche de logiciels malveillants

Ne laissez pas votre système sans protection. Télécharger SpyHunter Téléchargez-le gratuitement dès aujourd'hui et analysez votre appareil à la recherche de logiciels malveillants, d'arnaques ou de toute autre menace potentielle. Restez protégé !

Télécharger SpyHunter 5
✅ Analyse gratuite disponible • ⭐ Détecte instantanément les logiciels malveillants

CONDITIONS ET SERVICES