Рансъмуер рамки, убиващи EDR, изискват многослойна защита

Рансъмуер рамки, убиващи EDR, изискват многослойна защита

Групите за рансъмуер тихо пренаписаха правилата на собствените си атаки. Вместо да се надпреварват да криптират файлове, преди инструментите за сигурност да реагират, много от тях вече предприемат по-премерена първа стъпка: деактивиране на тези инструменти напълно. Нарастването на стратегията за защита чрез деактивиране на EDR предизвиква фундаменталното допускане, което е оформяло корпоративната сигурност с години – че софтуерът за откриване и реагиране на крайни точки (EDR) служи като надеждна последна линия на защита.

Когато нападателите могат да неутрализират този слой още преди атаката да е започнала, целият модел на сигурност трябва да бъде преразгледан.

Как работят рамките за деактивиране на EDR и защо се разпространяват

Софтуерът EDR работи, като наблюдава поведението на процесите, файловата активност и мрежовите повиквания на ниво крайна точка. Той може да маркира подозрителни модели в реално време и да предупреждава екипите по сигурност или автоматично да поставя под карантина заплахи. Именно тази видимост нападателите искат да премахнат.

Рамките за убиване на EDR, понякога наричани „EDR killers“, обикновено експлоатират клас уязвимости, свързани с легитимни, но уязвими драйвери. Тъй като Windows предоставя високо доверие на определени подписани драйвери на ниво ядро, нападателите зареждат уязвим драйвер на целевата машина и го използват като средство за прекратяване или заслепяване на процесите за сигурност, работещи в потребителското пространство. Тази техника, известна като Bring Your Own Vulnerable Driver (BYOVD), е възприета от множество операции с рансъмуер, включително RansomHub, която е внедрила инструмента EDRKillShifter в документирани вериги на атаки.

Привлекателността за нападателите е очевидна. След като EDR бъде неутрализиран, останалите фази на атаката – странично придвижване, извличане на данни и криптиране на файлове – могат да продължат със значително намален риск от откриване или прекъсване. Екипът по сигурност не вижда нищо, докато не стане твърде късно.

Тези рамки се разпространяват и защото бариерата за навлизане се понижава. Инструментариумите се комерсиализират и споделят в екосистемите за рансъмуер като услуга, което означава, че групи с ограничена техническа сложност вече могат да ги внедряват заедно със своите полезни товари.

Какво се случва, когато сигурността на крайните ви точки угасне

Непосредствената последица от успешното убиване на EDR е затъмнение на видимостта в крайната точка. Екипите на центъра за операции по сигурност (SOC) губят телеметрия. Автоматизираните правила за реагиране спират да се задействат. Допусканията, вградени в сценариите за реагиране на инциденти, вече не са валидни.

Това не е просто технически проблем. Това е организационен проблем. Много програми за сигурност са проектирани около идеята, че EDR осигурява надеждно дъно за откриване. Когато това дъно изчезне, екипите, които нямат компенсиращи контроли, се оказват в ситуация да реагират на атака, която не са могли да видят да идва.

По-широкият модел тук е свързан с промяна в начина, по който нападателите първоначално получават достъп. Както установи Докладът за разследвания на пробиви в данните на Verizon за 2026 г., уязвимостите в софтуера са изместили откраднатите идентификационни данни като водеща входна точка при пробиви. Нападателите експлоатират софтуерни недостатъци, за да получат достъп, след което внедряват инструменти за деактивиране на EDR, за да премахнат видимостта, преди да изпълнят основния си полезен товар. Двете тенденции се подсилват взаимно.

Здравните организации са особено изложени. Последствията от пропуск във видимостта в сектор, който разчита на постоянно достъпни системи, са тежки, както демонстрират инциденти като пробива в ChipSoft, който подчерта как неадекватното криптиране усложнява щетите, когато защитите са заобиколени.

Защо защитите на мрежово ниво запълват празнината

Сигурността на крайните точки и сигурността на мрежово ниво не са излишни една спрямо друга. Те наблюдават различни неща. Дори когато EDR е заслепен, мрежовият трафик все още тече и този трафик носи сигнали.

Инструментите за откриване и реагиране в мрежата (NDR) наблюдават трафика изток-запад в периметъра на мрежата, моделите на странично придвижване, необичайните DNS заявки и неочакваните изходящи връзки. Критичното е, че те работят независимо от агента на крайната точка. Нападател, който убие процес на EDR, няма директен механизъм да заслепи едновременно инфраструктурата за наблюдение на мрежата.

VPN и криптираните тунели играят поддържаща роля в тази картина. На организационно ниво изискването целият трафик да преминава през наблюдаван VPN шлюз означава, че дори ако крайната точка е компрометирана, мрежовият път остава видим и подлежи на прилагане на политики. Архитектурите за мрежов достъп с нулево доверие (ZTNA) разширяват това допълнително, като изискват непрекъсната верификация на мрежово ниво, а не само при първоначално влизане.

За отдалечени работници и разпределени екипи прилагането на VPN също гарантира, че трафикът от потенциално компрометирани крайни точки не заобикаля напълно периметровите контроли. Мрежовото ниво се превръща във вторична инспекционна точка, която зловредният софтуер за убиване на EDR не може просто да прекрати.

Практически стъпки: наслояване на VPN и криптиране заедно с EDR

Устойчивата архитектура за сигурност третира EDR като един слой сред няколко, а не като единствен механизъм за откриване. Ето конкретни стъпки, които организациите могат да предприемат, за да намалят излагането си на атаки за неутрализиране на EDR.

Одитирайте политиката си за драйвери. Windows Defender Application Control (WDAC) може да бъде конфигуриран да блокира известни уязвими драйвери преди да бъдат заредени. Microsoft поддържа списък с блокирани драйвери, който трябва активно да се прилага и поддържа актуален. Това директно атакува техниката BYOVD в нейния източник.

Активирайте защитата срещу манипулиране на EDR. Повечето основни EDR платформи включват функции за защита срещу манипулиране, които правят значително по-трудно убиването на агента от потребителското пространство. Тези функции не винаги са активирани по подразбиране и трябва да бъдат проверени като част от всеки одит на сигурността.

Инвестирайте във видимост на мрежово ниво. Ако текущият ви стек разчита силно на телеметрия от крайни точки, добавете NDR или анализ на мрежови потоци, за да осигурите независим канал за откриване. Това гарантира, че опитите за странично придвижване и извличане на данни остават видими дори когато крайните точки са компрометирани.

Налагайте VPN или ZTNA за всички отдалечени достъпи. Изискването трафикът да преминава през наблюдаван шлюз добавя вторична инспекционна точка. Комбинирайте това с политики за криптирани комуникации, за да гарантирате, че дори прихванатият трафик не дава използваеми данни на нападателя.

Провеждайте настолни упражнения, които предполагат отказ на EDR. Плановете за реагиране на инциденти, които приемат, че EDR винаги работи, ще се провалят точно в сценариите, в които са най-необходими. Практикувайте реагиране на сценарии, при които телеметрията от крайни точки не е налична.

Операторите на рансъмуер направиха стратегията си ясна: премахнете инструментите, проектирани да ги спрат, преди да внедрят своя полезен товар. Организациите, които ще се справят най-добре, са тези, които не разчитат на нито един отделен слой да понесе цялата отбранителна тежест. Сега е моментът да одитирате стека си за сигурност, да проверите дали са налице компенсиращи контроли на мрежово ниво и да се уверите, че плановете ви за реагиране на инциденти предвиждат свят, в който инструментите ви за крайни точки може да не са там, когато най-много се нуждаете от тях.