Il existe une nouvelle vague de cyberattaques ciblant les systèmes Windows, utilisant une technique furtive qui contourne les outils de sécurité traditionnels. Un groupe APT connu sous le nom de Silver Fox a transformé en arme un pilote légitime signé par Microsoft afin de désactiver les protections antivirus et de déployer des malwares sans être détecté.
Ce qu’il se passe ?
Silver Fox utilise un pilote vulnérable (amsdk.sys) provenant de WatchDog Anti-Malware, construit sur le SDK de Zemana, pour exécuter une attaque BYOVD (Bring Your Own Vulnerable Driver).
Cette technique permet aux attaquants d’obtenir un accès au noyau du système et de contourner les contrôles de sécurité.
BYOVD est une technique de cyberattaque où les hackers installent intentionnellement un pilote légitime contenant des vulnérabilités connues. Ces pilotes sont généralement signés et approuvés par le système d’exploitation. Cela les rend particulièrement dangereux, car ils contournent de nombreuses défenses standards et opèrent en profondeur dans le système.
Accès au niveau noyau : correspond au plus haut niveau de privilège dans un système d’exploitation comme Windows, où le code (par ex. pilotes ou fonctions principales de l’OS) s’exécute en « mode noyau ».
Une fois chargé en mode noyau, le pilote permet aux attaquants de :
-
- Terminer des processus protégés (par ex. arrêter un antivirus comme Windows Defender).
- Escalader les privilèges (par ex. passer d’utilisateur à un contrôle total du système).
- Activer le falsification de signature ou la manipulation de processus sans alertes.
Tactiques clés identifiées
La campagne a déployé ValleyRAT, un cheval de Troie d’accès à distance (RAT) capable de :
-
- Prendre le contrôle complet du système
- Exfiltrer des données
- Utiliser des techniques anti-analyse pour éviter la détection dans les environnements sandbox ou virtuels
Silver Fox a également adapté :
-
- Manipulation de signature en modifiant un seul octet du pilote pour contourner la détection basée sur le hachage, tout en conservant la signature Microsoft valide.
- Chargeurs de malware tout-en-un : intégrant le pilote avec une logique anti-analyse et des modules tueurs EDR/AV.
- Stratégie à double pilote pour la compatibilité entre les versions de Windows : cible les systèmes plus anciens avec un pilote vulnérable connu de Zemana (zam.exe) et les systèmes modernes avec le pilote non documenté amsdk.sys, absent de la blocklist des pilotes vulnérables de Microsoft ou de la base LOLDrivers.
Pourquoi c’est important — même si vous n’utilisez pas WatchDog
La confiance seule n’est pas une sécurité – Même les pilotes signés par Microsoft, généralement considérés comme fiables par les systèmes Windows, peuvent être exploités s’ils contiennent des vulnérabilités. Le problème dépasse de loin un seul produit.
Même sans WatchDog, vos systèmes sont en danger. Silver Fox « apporte » des pilotes vulnérables via du phishing, en exploitant la confiance de Windows dans le code signé.
-
- Tout pilote signé peut être détourné par les attaquants s’il n’est pas activement surveillé.
- Votre organisation peut involontairement autoriser des pilotes vulnérables en raison de failles dans la gestion des mises à jour ou d’un manque d’application stricte des blocklists.
- BYOVD progresse rapidement : la technique Bring Your Own Vulnerable Driver est de plus en plus utilisée par les groupes de ransomware et les acteurs avancés. Les attaquants exploitent des pilotes légitimes mais vulnérables pour obtenir un accès profond aux systèmes, contournant les outils de sécurité traditionnels.
Les cybercriminels ciblent désormais le noyau du système, là où les outils de sécurité traditionnels ont une visibilité et un contrôle limités.
Même si votre organisation n’utilise pas de logiciels comme WatchDog, vous pourriez être vulnérable aux attaques BYOVD si vos systèmes :
-
- Autorisent l’exécution de pilotes obsolètes ou non vérifiés.
- N’ont pas de processus clair pour surveiller et gérer l’activité des pilotes.
- Ne disposent pas d’outils de sécurité capables de détecter les menaces au niveau noyau.
Priorités stratégiques d’investissement IT
- Le BYOVD opère au niveau noyau, la couche la plus privilégiée du système d’exploitation.
- Les entreprises ont besoin de solutions EDR/XDR avancées capables de détecter et de répondre aux menaces opérant sous la surface.
- Auditer régulièrement les pilotes installés sur les endpoints et serveurs.
- Identifier et supprimer les pilotes vulnérables connus.
- Mettre en œuvre des contrôles stricts sur l’installation, la mise à jour et la suppression des pilotes.
- S’assurer que seuls des pilotes vérifiés et à jour sont utilisés, et maintenir un inventaire des pilotes pour les revues de conformité et de sécurité.
- Les pilotes vulnérables peuvent être introduits via des logiciels ou matériels tiers.
- Les entreprises doivent évaluer et surveiller les risques de la supply chain, y compris la posture de sécurité des éditeurs et des partenaires.
- Exigez de la transparence et un calendrier de mises à jour régulières de la part des fournisseurs, même ceux qui ne sont pas actuellement utilisés.
Sécurisez votre entreprise avec une stratégie de cybersécurité complète proposée par ITM
Dans le paysage numérique actuel, chaque appareil connecté peut devenir une porte d’entrée potentielle pour les cybermenaces. Chez ITM, nous proposons des solutions de cybersécurité proactives conçues pour vous aider à détecter les menaces rapidement, à réagir efficacement et à protéger vos systèmes à tous les niveaux des points d’accès jusqu’à l’infrastructure centrale.
Contactez ITM dès aujourd’hui pour :
-
- Évaluer votre posture de sécurité actuelle et vos vulnérabilités.
- Élaborer une stratégie de défense sur mesure, adaptée aux besoins de votre entreprise.
- Garantir une protection de bout en bout sur l’ensemble de votre environnement informatique.
La sécurité ne relève pas de la chance – elle repose sur la préparation. Construisons-la ensemble.
