Source: Huntress — Début février 2026, Huntress a répondu à une intrusion où des identifiants SonicWall SSLVPN compromis ont servi d’accès initial, avant le déploiement d’un « EDR killer » exploitant la technique de Bring Your Own Vulnerable Driver (BYOVD) via un driver EnCase (EnPortv.sys) signé mais révoqué, afin de tuer des processus de sécurité depuis le noyau. L’attaque a été interrompue avant une phase probable de rançongiciel.

La télémétrie SonicWall ingérée par Huntress Managed SIEM a permis de reconstituer la chronologie: une tentative de connexion portail refusée depuis 193.160.216[.]221 a précédé d’une minute une authentification VPN réussie depuis 69.10.60[.]250. Une reconnaissance réseau agressive a suivi (ICMP ping sweeps, requêtes NetBIOS, activité SMB avec rafales >370 SYN/s). La corrélation SIEM–endpoint a facilité la détection, l’isolement des systèmes et des recommandations de remédiation (activer MFA sur les accès distants, revoir les logs VPN).

L’EDR killer est un exécutable 64-bit se faisant passer pour un utilitaire de mise à jour firmware et embarquant un driver noyau encodé via un substitut de mots (dictionnaire de 256 mots, chaque mot=1 octet). Le flux encodé se décode en un fichier PE (signature MZ) écrit en « C:\ProgramData\OEM\Firmware\OemHwUpd.sys », avec dissimulation (attributs hidden+system) et timestomping à partir de ntdll.dll. Le binaire maintient une liste de 59 processus de sécurité à cibler, identifiés via hachage FNV-1a, et opère une boucle de mise à mort continue (1 s). Les cibles couvrent la plupart des grands éditeurs (ex. Microsoft Defender, CrowdStrike, SentinelOne, Carbon Black, Palo Alto Cortex, Elastic, Sophos, Kaspersky, ESET, Bitdefender, etc.); le process de l’agent Huntress n’y figure pas.

Persistance: le driver est enregistré comme service noyau « OemHwUpd » (Demand Start) pour survivre aux redémarrages. L’article détaille un écart structurel de la Driver Signature Enforcement (DSE) de Windows: pas de vérification CRL en noyau. Malgré l’expiration (2010) et la révocation du certificat, Windows accepte le driver grâce à (1) l’exception du 29/07/2015 pour les anciens drivers cross-signés et (2) un timestamping valide à l’époque de la signature. Microsoft privilégie une blocklist de drivers vulnérables (active par défaut avec HVCI/Memory Integrity) mise à jour à chaque version majeure, approche réactive par hash. Le driver EnCase expose de nombreuses IOCTL (KillProc, HideProc, DeleteFile, accès mémoire physique, etc.); ici, les acteurs n’ont utilisé que 0x223078 (KillProc) pour tuer des EDR depuis le noyau, contournant PPL.

IOCs 📍

  • Chemin driver: C:\ProgramData\OEM\Firmware\OemHwUpd.sys
  • Service: OemHwUpd — « OEM Hardware HAL Service »
  • IPs: 69.10.60[.]250 ; 193.160.216[.]221
  • Hash driver (OemHwUpd.sys): 3111f4d7d4fac55103453c4c8adb742def007b96b7c8ed265347df97137fbee0
  • Hash EDR killer (svchost.exe): 6a6aaeed4a6bbe82a08d197f5d40c2592a461175f181e0440e0ff45d5fb60939

TTPs 🛠️

  • Accès initial: identifiants SonicWall SSLVPN compromis
  • Reconnaissance réseau: ICMP sweeps, NetBIOS, SMB, rafales SYN
  • Exécution: BYOVD via driver EnCase (EnPortv.sys), IOCTL 0x223078 pour KillProc
  • Évasion défense: kill de 59 processus EDR/AV, FNV-1a pour matching, boucle de redémarrage, timestomping, attributs système/hidden
  • Persistance: service driver noyau « OemHwUpd »

Il s’agit d’un rapport d’incident à forte composante d’analyse technique visant à documenter l’intrusion, la chaîne d’attaque et la technique BYOVD observée.

🔗 Source originale : https://www.huntress.com/blog/encase-byovd-edr-killer