What is an EDR-killing framework?

An EDR-killing framework is a tool used by attackers to disable endpoint detection and response software before encrypting files, eliminating the visibility security teams rely on.

How do attackers disable EDR software?

They typically use the Bring Your Own Vulnerable Driver (BYOVD) technique, loading a signed but vulnerable kernel driver to terminate or blind security processes running in user space.

Why are EDR-killing tools becoming more common among ransomware groups?

The barrier to entry is lowering because these toolkits are being commoditized and shared across ransomware-as-a-service ecosystems, allowing even less sophisticated groups to deploy them.

What happens when an EDR tool is successfully killed?

A visibility blackout occurs: SOC teams lose telemetry, automated response rules stop firing, and attackers can proceed with lateral movement, data exfiltration, and encryption without detection.

Why does the rise of EDR killers require a layered defense?

Because many security programs treat EDR as a reliable detection floor, and when it is removed, teams without compensating controls are left blind to the attack, demanding additional security layers.

أطر الفدية المُعطّلة لأنظمة كشف التهديدات والاستجابة لها (EDR) تستوجب دفاعًا متعدد الطبقات

أطر الفدية المُعطّلة لأنظمة EDR تستوجب دفاعًا متعدد الطبقات

أعادت مجموعات الفدية كتابة قواعد هجماتها بهدوء. فبدلاً من التسابق لتشفير الملفات قبل أن تتمكن أدوات الأمان من الاستجابة، يتّخذ العديد منها الآن خطوة أولى أكثر دهاءً: تعطيل تلك الأدوات بالكامل. يتحدى تنامي استراتيجية الدفاع القائمة على تعطيل أنظمة كشف التهديدات والاستجابة لها (EDR) افتراضًا جوهريًا شكّل أمن المؤسسات لسنوات، وهو أن برمجيات EDR تمثل خط الحماية الأخير الذي يمكن الاعتماد عليه.

عندما يتمكن المهاجمون من تحييد تلك الطبقة حتى قبل بدء الهجوم، يصبح نموذج الأمان بأكمله بحاجة إلى إعادة تقييم.

كيف تعمل أطر تعطيل EDR ولماذا تنتشر

تعمل برمجيات EDR من خلال مراقبة سلوك العمليات، ونشاط الملفات، واستدعاءات الشبكة على مستوى نقطة النهاية. ويمكنها الإبلاغ عن الأنماط المشبوهة في الوقت الفعلي وتنبيه فرق الأمان أو عزل التهديدات تلقائيًا. وهذه الرؤية هي بالضبط ما يسعى المهاجمون إلى التخلص منه.

تستغل أطر قتل EDR، التي تُسمى أحيانًا "أدوات قتل EDR"، عادةً فئة من الثغرات الأمنية المرتبطة بتعريفات شرعية ولكنها ضعيفة. ونظرًا لأن ويندوز يمنح بعض تعريفات مستوى النواة الموقعة ثقة عالية، يقوم المهاجمون بتحميل تعريف ضعيف على الجهاز المستهدف واستخدامه كوسيلة لإنهاء عمليات الأمان التي تعمل في مساحة المستخدم أو تعمية أدوات المراقبة. هذه التقنية، المعروفة على نطاق واسع باسم "أحضر تعريفك الضعيف" (BYOVD)، تم تبنيها من قبل عدة عمليات فدية بما في ذلك RansomHub، التي استخدمت أداة EDRKillShifter في سلاسل هجمات موثقة.

الجاذبية بالنسبة للمهاجمين واضحة. فبمجرد تحييد EDR، يمكن لمراحل الهجوم المتبقية، بما في ذلك الحركة الجانبية، وتسريب البيانات، وتشفير الملفات، أن تستمر مع خطر أقل بكثير للاكتشاف أو الإعاقة. ولا يرى فريق الأمان شيئًا حتى فوات الأوان.

تنتشر هذه الأطر أيضًا لأن حاجز الدخول ينخفض. يجري تحويل مجموعات الأدوات إلى سلعة ومشاركتها عبر أنظمة الفدية كخدمة، مما يعني أن المجموعات ذات المهارات التقنية المحدودة يمكنها الآن نشرها إلى جانب حمولاتها الخبيثة.

ماذا يحدث عندما يصبح أمان نقطة النهاية في الظلام

النتيجة المباشرة لنجاح قتل EDR هي انقطاع الرؤية عند نقطة النهاية. تفقد فرق مركز العمليات الأمنية (SOC) بيانات المراقبة عن بُعد. وتتوقف قواعد الاستجابة الآلية عن العمل. ولا تعود الافتراضات المضمنة في أدلة الاستجابة للحوادث صالحة.

هذه ليست مجرد مشكلة تقنية. إنها مشكلة تنظيمية. صُممت العديد من برامج الأمان حول فكرة أن EDR توفر أرضية كشف موثوقة. وعندما تختفي هذه الأرضية، تجد الفرق التي تفتقر إلى ضوابط تعويضية نفسها تستجيب لهجوم لم تتمكن من رؤيته قادمًا.

يرتبط النمط الأوسع هنا بتحول في كيفية حصول المهاجمين على الوصول الأولي في المقام الأول. كما وجد تقرير تحقيقات خرق البيانات من Verizon لعام 2026، تفوقت الثغرات البرمجية على بيانات الاعتماد المسروقة كنقطة دخول رئيسية في الخروقات. يستغل المهاجمون العيوب البرمجية للوصول، ثم ينشرون أدوات تعطيل EDR لإزالة الرؤية، قبل تنفيذ حمولتهم الأساسية. ويعزز الاتجاهان بعضهما البعض.

تتعرض مؤسسات الرعاية الصحية بشكل خاص. عواقب فجوة الرؤية في قطاع يعتمد على أنظمة متاحة دائمًا وخيمة، كما يتضح من حوادث مثل اختراق ChipSoft، الذي أظهر كيف يضاعف التشفير غير الكافي الضرر عند تجاوز الدفاعات.

لماذا تسد الدفاعات على مستوى الشبكة الفجوة

أمن نقطة النهاية وأمن طبقة الشبكة ليسا متكررين. إنهما يراقبان أشياء مختلفة. حتى عندما يتم تعمية EDR، تظل حركة مرور الشبكة تتدفق، وتحمل تلك الحركة إشارات.

تراقب أدوات كشف التهديدات والاستجابة لها على الشبكة (NDR) حركة المرور الداخلية بين الشرق والغرب داخل محيط الشبكة، وأنماط الحركة الجانبية، واستعلامات DNS غير المعتادة، والاتصالات الصادرة غير المتوقعة. والأهم من ذلك، أنها تعمل بشكل مستقل عن وكيل نقطة النهاية. فالمهاجم الذي يوقف عملية EDR لا يمتلك آلية مباشرة لتعمية البنية التحتية لمراقبة الشبكة في الوقت نفسه.

تلعب شبكات VPN والأنفاق المشفرة دورًا مساعدًا في هذه الصورة. فعلى المستوى المؤسسي، يعني اشتراط مرور جميع حركة المرور عبر بوابة VPN مراقَبة أنه حتى إذا تم اختراق نقطة النهاية، يظل مسار الشبكة مرئيًا وخاضعًا لتطبيق السياسات. وتوسع بنيات الوصول إلى الشبكة بدون ثقة (ZTNA) هذا الأمر بشكل أكبر من خلال اشتراط التحقق المستمر على طبقة الشبكة، وليس فقط عند تسجيل الدخول الأولي.

بالنسبة للعاملين عن بُعد والفرق الموزعة، يضمن تطبيق VPN أيضًا أن حركة المرور القادمة من نقاط النهاية التي يُحتمل اختراقها لا تتجاوز ضوابط المحيط بالكامل. وتصبح طبقة الشبكة نقطة تفتيش ثانوية لا يمكن لبرمجيات تعطيل EDR إنهاؤها ببساطة.

خطوات عملية: دمج شبكات VPN والتشفير جنبًا إلى جنب مع EDR

تتعامل البنية الأمنية المرنة مع EDR كطبقة واحدة من بين عدة طبقات، وليس كآلية الكشف الوحيدة. إليك خطوات ملموسة يمكن للمؤسسات اتخاذها لتقليل التعرض لهجمات تحييد EDR.

مراجعة سياسة التعريفات لديك. يمكن تكوين التحكم في التطبيقات في Windows Defender (WDAC) لمنع التعريفات المعروفة بأنها ضعيفة قبل تحميلها. تحتفظ Microsoft بقائمة حظر يجب تطبيقها بنشاط وإبقائها محدثة. يستهدف هذا أسلوب BYOVD من مصدره مباشرة.

تفعيل الحماية من التلاعب في EDR. تتضمن معظم منصات EDR الرئيسية ميزات حماية من التلاعب تجعل من الأصعب بكثير إيقاف الوكيل من مساحة المستخدم. هذه الميزات ليست دائمًا مفعلة افتراضيًا ويجب التحقق منها كجزء من أي تدقيق أمني.

الاستثمار في الرؤية على مستوى الشبكة. إذا كانت حزمة الأدوات الحالية تعتمد بشكل كبير على مراقبة نقطة النهاية عن بُعد، فأضف NDR أو تحليل تدفق الشبكة لتوفير قناة كشف مستقلة. يضمن ذلك بقاء محاولات الحركة الجانبية والتسريب مرئية حتى عند اختراق نقاط النهاية.

فرض VPN أو ZTNA لكل وصول عن بُعد. يضيف اشتراط مرور حركة المرور عبر بوابة مراقَبة نقطة تفتيش ثانوية. ادمج هذا مع سياسات اتصالات مشفرة لضمان أن حركة المرور التي يتم اعتراضها لا تسفر عن بيانات قابلة للاستخدام للمهاجم.

إجراء تمارين محاكاة تفترض فشل EDR. خطط الاستجابة للحوادث التي تفترض أن EDR يعمل دائمًا ستنهار في السيناريوهات التي تكون فيها الحاجة إليها ماسة بالضبط. تدرب على الاستجابة لسيناريوهات لا تتوفر فيها مراقبة نقطة النهاية عن بُعد.

جعلت جهات الفدية استراتيجيتها واضحة: إزالة الأدوات المصممة لإيقافها قبل نشر حمولتها. المؤسسات التي ستحقق أفضل النتائج هي تلك التي لا تعتمد على أي طبقة واحدة لتحمل العبء الدفاعي بأكمله. حان الوقت الآن لتدقيق مجموعة أدوات الأمان الخاصة بك، والتحقق من وجود ضوابط تعويضية على مستوى الشبكة، والتأكد من أن خطط الاستجابة للحوادث لديك تأخذ في الاعتبار عالمًا قد لا تكون فيه أدوات نقطة النهاية موجودة عندما تكون في أمس الحاجة إليها.

أطر الفدية المُعطّلة لأنظمة EDR تستوجب دفاعًا متعدد الطبقات

كيف تعمل أطر تعطيل EDR ولماذا تنتشر

ماذا يحدث عندما يصبح أمان نقطة النهاية في الظلام

لماذا تسد الدفاعات على مستوى الشبكة الفجوة

خطوات عملية: دمج شبكات VPN والتشفير جنبًا إلى جنب مع EDR

// الأسئلة الشائعة

// ذات صلة