Pourquoi un pilote EnCase vieux de dix ans fonctionne toujours comme un tueur EDR - Help Net Security

Zeljka Zorz - HelpNetSecurity - 05/02
Les attaquants utilisent un nouveau malware tueur EDR qui désactive 59 outils de sécurité en abusant d'un ancien pilote du noyau EnCase que Windows charge encore.

Les attaquants s’appuient sur un nouveau malware tueur EDR capable de désactiver 59 produits de sécurité des points finaux largement utilisés en utilisant à mauvais escient un pilote du noyau autrefois livré avec l’outil d’investigation numérique EnCase de Guidance Software, préviennent les chercheurs de Huntress.

Ce conducteur en particulier est légitime mais son certificat a expiré et a été révoqué il y a plus de dix ans. Même ainsi, Windows permet toujours de le charger.

L'attaque

Les experts en sécurité de Huntress ont repéré cette intrusion au début du mois et ont découvert que les attaquants :

  • Accès au réseau de l'organisation victime en s'authentifiant avec succès auprès du VPN SSL SonicWall avec des informat...
    [Courte citation de 8% de l'article original]
Loading...