EDR-dræbende ransomware-frameworks kræver et lagdelt forsvar

EDR-dræbende ransomware-frameworks kræver et lagdelt forsvar

Ransomware-grupper har i stilhed omskrevet reglerne for deres egne angreb. I stedet for at skynde sig at kryptere filer, før sikkerhedsværktøjer kan reagere, tager mange nu et mere kalkuleret første skridt: at deaktivere disse værktøjer helt. Fremkomsten af en forsvarsstrategi baseret på EDR-deaktivering udfordrer en grundlæggende antagelse, der har formet virksomheders sikkerhed i årevis, nemlig at endpoint detection and response (EDR)-software fungerer som en pålidelig sidste forsvarslinje.

Når angribere kan neutralisere dette lag, før angrebet overhovedet begynder, kræver hele sikkerhedsmodellen en ny vurdering.

Hvordan EDR-deaktiverende frameworks virker, og hvorfor de spredes

EDR-software fungerer ved at overvåge procesadfærd, filaktivitet og netværkskald på endpoint-niveau. Det kan markere mistænkelige mønstre i realtid og advare sikkerhedsteams eller automatisk sætte trusler i karantæne. Den synlighed er præcis, hvad angribere ønsker at fjerne.

EDR-dræbende frameworks, undertiden kaldet “EDR killers”, udnytter typisk en klasse af sårbarheder knyttet til legitime, men sårbare drivere. Fordi Windows giver visse signerede kernel-drivere høj tillid, indlæser angribere en sårbar driver på målmaskinen og bruger den som et redskab til at terminere eller blinde sikkerhedsprocesser, der kører i brugerrummet. Denne teknik, kendt som Bring Your Own Vulnerable Driver (BYOVD), er blevet anvendt af flere ransomware-operationer, herunder RansomHub, der brugte EDRKillShifter-værktøjet i dokumenterede angrebskæder.

Tiltrækningskraften for angriberne er enkel. Når EDR er neutraliseret, kan de resterende angrebsfaser, herunder lateral bevægelse, dataudtræk og filkryptering, fortsætte med betydeligt reduceret risiko for opdagelse eller afbrydelse. Sikkerhedsteamet ser intet, før det er for sent.

Disse frameworks spredes også, fordi adgangsbarrieren sænkes. Værktøjskasser bliver kommercialiseret og delt på tværs af ransomware-as-a-service-økosystemer, hvilket betyder, at grupper med begrænset teknisk kunnen nu kan anvende dem sammen med deres malware.

Hvad sker der, når din endpoint-sikkerhed går i sort

Den umiddelbare konsekvens af et vellykket EDR-drab er et synlighedsblackout ved endpointet. Security operations center (SOC)-teams mister telemetri. Automatiserede responsregler holder op med at udløse. De antagelser, der er indbygget i incident response-planer, holder ikke længere.

Dette er ikke kun et teknisk problem. Det er et organisatorisk problem. Mange sikkerhedsprogrammer er arkitektonisk bygget op omkring idéen om, at EDR udgør et pålideligt detektionsgulv. Når det gulv forsvinder, står teams, der mangler kompenserende kontroller, tilbage med et angreb, de ikke kunne se komme.

Det bredere mønster her hænger sammen med et skift i, hvordan angribere opnår initial adgang i første omgang. Som Verizon 2026 Data Breach Investigations Report viste, har software-sårbarheder overhalet stjålne legitimationsoplysninger som den førende indgangsvej i brud. Angribere udnytter softwarefejl til at opnå adgang, anvender derefter EDR-deaktiverende værktøjer for at fjerne synlighed, før de eksekverer deres primære nyttelast. De to tendenser forstærker hinanden.

Sundhedsorganisationer er særligt udsatte. Konsekvenserne af et synlighedsgab i en sektor, der er afhængig af altid tilgængelige systemer, er alvorlige, som demonstreret ved hændelser som ChipSoft-bruddet, der understregede, hvordan utilstrækkelig kryptering forværrer skaden, når forsvarsværkerne omgås.

Hvorfor netværkslagsforsvar udfylder hullet

Endpoint-sikkerhed og netværkslags-sikkerhed er ikke overflødige. De observerer forskellige ting. Selv når en EDR er blindet, flyder netværkstrafik stadig, og den trafik bærer signaler.

Network detection and response (NDR)-værktøjer overvåger øst-vest-trafik inden for en netværksperimeter, laterale bevægelsesmønstre, usædvanlige DNS-forespørgsler og uventede udgående forbindelser. Afgørende er det, at de opererer uafhængigt af endpoint-agenten. En angriber, der dræber en EDR-proces, har ingen direkte mekanisme til samtidig at blinde overvågningsinfrastrukturen på netværket.

VPN'er og krypterede tunneler spiller en understøttende rolle i dette billede. På organisationsniveau betyder kravet om, at al trafik skal passere gennem en overvåget VPN-gateway, at selv hvis et endpoint er kompromitteret, forbliver netværksstien synlig og underlagt politik-håndhævelse. Zero-trust network access (ZTNA)-arkitekturer udvider dette yderligere ved at kræve kontinuerlig verifikation på netværkslaget, ikke kun ved første login.

For fjernarbejdere og distribuerede teams sikrer VPN-håndhævelse også, at trafik fra potentielt kompromitterede endpoints ikke helt omgår perimeterkontroller. Netværkslaget bliver et sekundært inspektionspunkt, som EDR-dræbende malware ikke simpelthen kan terminere.

Praktiske skridt: Lagdeling af VPN'er og kryptering sammen med EDR

En robust sikkerhedsarkitektur behandler EDR som ét lag blandt flere, ikke som den eneste detektionsmekanisme. Her er konkrete skridt, organisationer kan tage for at reducere eksponeringen for EDR-neutraliseringsangreb.

Få styr på din driver-politik. Windows Defender Application Control (WDAC) kan konfigureres til at blokere kendt-sårbare drivere, før de indlæses. Microsoft vedligeholder en blokeringsliste, der bør anvendes aktivt og holdes opdateret. Dette adresserer BYOVD-teknikken direkte ved kilden.

Aktivér EDR-tamper-beskyttelse. De fleste større EDR-platforme indeholder tamper-beskyttelsesfunktioner, der gør det betydeligt sværere at dræbe agenten fra brugerrummet. Disse funktioner er ikke altid aktiveret som standard og bør verificeres som led i ethvert sikkerhedsrevision.

Invester i synlighed på netværkslaget. Hvis din nuværende stack i høj grad er afhængig af endpoint-telemetri, så tilføj NDR eller netværksflowanalyse for at få en uafhængig detektionskanal. Dette sikrer, at lateral bevægelse og forsøg på dataudtræk forbliver synlige, selv når endpoints er kompromitterede.

Håndhæv VPN eller ZTNA for al fjernadgang. Krav om, at trafik passerer gennem en overvåget gateway, tilføjer et sekundært inspektionspunkt. Kombiner dette med politikker for krypteret kommunikation for at sikre, at selv opsnappet trafik ikke giver brugbare data til en angriber.

Gennemfør bordøvelser, der antager EDR-svigt. Incident response-planer, der antager, at EDR altid fungerer, vil fejle netop i de scenarier, hvor de er mest nødvendige. Øv respons på scenarier, hvor endpoint-telemetri er utilgængelig.

Ransomware-operatører har gjort deres strategi klar: fjern de værktøjer, der er designet til at stoppe dem, inden de udløser deres nyttelast. De organisationer, der klarer sig bedst, er dem, der ikke stoler på et enkelt lag til at bære hele forsvarsbyrden. Nu er tiden inde til at revidere din sikkerhedsstack, verificere at kompenserende kontroller er på plads på netværksniveau og sikre, at dine incident response-planer tager højde for en verden, hvor dine endpoint-værktøjer måske ikke er der, når du har mest brug for dem.