What is an EDR-killing framework?

An EDR-killing framework is a tool used by attackers to disable endpoint detection and response software before encrypting files, eliminating the visibility security teams rely on.

How do attackers disable EDR software?

They typically use the Bring Your Own Vulnerable Driver (BYOVD) technique, loading a signed but vulnerable kernel driver to terminate or blind security processes running in user space.

Why are EDR-killing tools becoming more common among ransomware groups?

The barrier to entry is lowering because these toolkits are being commoditized and shared across ransomware-as-a-service ecosystems, allowing even less sophisticated groups to deploy them.

What happens when an EDR tool is successfully killed?

A visibility blackout occurs: SOC teams lose telemetry, automated response rules stop firing, and attackers can proceed with lateral movement, data exfiltration, and encryption without detection.

Why does the rise of EDR killers require a layered defense?

Because many security programs treat EDR as a reliable detection floor, and when it is removed, teams without compensating controls are left blind to the attack, demanding additional security layers.

Okviri ransomwarea koji ubijaju EDR zahtijevaju slojevitu obranu

Ransomware grupe tiho su prepisale pravila vlastitih napada. Umjesto da se utrkuju u šifriranju datoteka prije nego što sigurnosni alati reagiraju, mnogi sada poduzimaju proračunatiji prvi korak: onemogućiti te alate u potpunosti. Porast ransomware obrambene strategije koja onemogućuje EDR dovodi u pitanje temeljnu pretpostavku koja je godinama oblikovala sigurnost poduzeća – da softver za otkrivanje i odgovor na krajnjim točkama (EDR) služi kao pouzdana posljednja linija zaštite.

Kada napadači mogu neutralizirati taj sloj prije nego što napad uopće počne, cijeli sigurnosni model zahtijeva ponovno preispitivanje.

Kako funkcioniraju okviri za onemogućavanje EDR-a i zašto se šire

EDR softver radi praćenjem ponašanja procesa, aktivnosti datoteka i mrežnih poziva na razini krajnje točke. Može u stvarnom vremenu označiti sumnjive obrasce i upozoriti sigurnosne timove ili automatski staviti prijetnje u karantenu. Upravo tu vidljivost napadači žele eliminirati.

Okviri za ubijanje EDR-a, ponekad nazvani "EDR ubojice", obično iskorištavaju klasu ranjivosti povezanih s legitimnim, ali ranjivim upravljačkim programima. Budući da Windows dodjeljuje visoko povjerenje određenim potpisanim upravljačkim programima na razini jezgre, napadači učitavaju ranjivi upravljački program na ciljno računalo i koriste ga kao sredstvo za prekidanje ili zasljepljivanje sigurnosnih procesa koji se izvode u korisničkom prostoru. Ova tehnika, općenito poznata kao Donesi vlastiti ranjivi upravljački program (BYOVD), usvojena je od strane više ransomware operacija uključujući RansomHub, koji je u dokumentiranim lancima napada koristio alat EDRKillShifter.

Privlačnost za napadače je jednostavna. Nakon što je EDR neutraliziran, preostale faze napada, uključujući lateralno kretanje, eksfiltraciju podataka i šifriranje datoteka, mogu se odvijati sa značajno smanjenim rizikom od otkrivanja ili prekida. Sigurnosni tim ne vidi ništa dok ne bude prekasno.

Ovi okviri se također šire jer je ulazna barijera sve niža. Alati se komodificiraju i dijele unutar ekosustava ransomwarea kao usluge, što znači da ih grupe s ograničenom tehničkom sofisticiranošću sada mogu koristiti zajedno sa svojim payloadima.

Što se događa kada vaša zaštita krajnjih točaka padne u mrak

Neposredna posljedica uspješnog gašenja EDR-a je nestanak vidljivosti na krajnjoj točki. Timovi sigurnosnog operativnog centra (SOC) gube telemetriju. Automatska pravila odgovora prestaju se aktivirati. Pretpostavke ugrađene u planove odgovora na incidente više ne vrijede.

Ovo nije samo tehnički problem. To je organizacijski problem. Mnogi sigurnosni programi su arhitektonski osmišljeni oko ideje da EDR pruža pouzdanu razinu detekcije. Kada ta razina nestane, timovi koji nemaju kompenzacijske kontrole nađu se kako odgovaraju na napad koji nisu mogli predvidjeti.

Širi obrazac ovdje se povezuje s promjenom u načinu na koji napadači ostvaruju početni pristup. Kako je Verizonovo Izvješće o istraživanju kršenja podataka za 2026. pokazalo, ranjivosti softvera prestigle su ukradene vjerodajnice kao glavnu ulaznu točku u kršenjima. Napadači iskorištavaju softverske nedostatke kako bi dobili pristup, zatim primjenjuju alate za onemogućavanje EDR-a kako bi uklonili vidljivost, prije izvršavanja svog primarnog payloada. Ova dva trenda međusobno se pojačavaju.

Zdravstvene organizacije su posebno izložene. Posljedice nedostatka vidljivosti u sektoru koji se oslanja na sustave koji uvijek moraju biti dostupni su ozbiljne, kao što pokazuju incidenti poput ChipSoft kršenja, koji je istaknuo kako neadekvatna enkripcija pogoršava štetu kada su obrane zaobiđene.

Zašto mrežna obrana popunjava prazninu

Sigurnost krajnjih točaka i sigurnost mrežnog sloja nisu redundantne. One promatraju različite stvari. Čak i kada je EDR zaslijepljen, mrežni promet i dalje teče, a taj promet nosi signale.

Alati za otkrivanje i odgovor na mreži (NDR) prate promet istok-zapad unutar mrežnog perimetra, obrasce lateralnog kretanja, neobične DNS upite i neočekivane odlazne veze. Ključno je da rade neovisno o agentu na krajnjoj točki. Napadač koji ubije EDR proces nema izravan mehanizam da istovremeno zaslijepi infrastrukturu za nadzor mreže.

VPN-ovi i šifrirani tuneli igraju podržavajuću ulogu u ovoj slici. Na organizacijskoj razini, zahtijevanje da sav promet prolazi kroz nadzirani VPN pristupnik znači da čak i ako je krajnja točka kompromitirana, mrežni put ostaje vidljiv i podložan provođenju pravila. Arhitekture mrežnog pristupa nultog povjerenja (ZTNA) to dodatno proširuju zahtijevanjem kontinuirane provjere na mrežnom sloju, a ne samo pri početnoj prijavi.

Za udaljene radnike i distribuirane timove, provođenje VPN-a također osigurava da promet s potencijalno kompromitiranih krajnjih točaka ne zaobilazi perimetarske kontrole u potpunosti. Mrežni sloj postaje sekundarna točka inspekcije koju zlonamjerni softver za ubijanje EDR-a ne može jednostavno prekinuti.

Praktični koraci: slojevito korištenje VPN-ova i enkripcije uz EDR

Otporna sigurnosna arhitektura tretira EDR kao jedan od nekoliko slojeva, a ne kao jedini mehanizam detekcije. Evo konkretnih koraka koje organizacije mogu poduzeti kako bi smanjile izloženost napadima neutralizacije EDR-a.

Revizija politike upravljačkih programa. Windows Defender Application Control (WDAC) može se konfigurirati da blokira poznate ranjive upravljačke programe prije nego što se učitaju. Microsoft održava popis blokiranih koji treba aktivno primjenjivati i redovito ažurirati. Ovo izravno cilja na tehniku BYOVD u njezinom izvoru.

Omogućavanje zaštite od neovlaštenog pristupa EDR-u. Većina glavnih EDR platformi uključuje značajke zaštite od neovlaštenog pristupa koje značajno otežavaju ubijanje agenta iz korisničkog prostora. Ove značajke nisu uvijek omogućene prema zadanim postavkama i treba ih provjeriti kao dio svake sigurnosne revizije.

Ulaganje u vidljivost mrežnog sloja. Ako se vaš trenutni skup alata uvelike oslanja na telemetriju krajnjih točaka, dodajte NDR ili analizu mrežnog toka kako biste osigurali neovisan kanal detekcije. To osigurava da lateralno kretanje i pokušaji eksfiltracije ostanu vidljivi čak i kada su krajnje točke kompromitirane.

Provođenje VPN-a ili ZTNA za sav udaljeni pristup. Zahtijevanje da promet prolazi kroz nadzirani pristupnik dodaje sekundarnu točku inspekcije. Kombinirajte to s politikama šifrirane komunikacije kako biste osigurali da čak ni presretnuti promet napadaču ne pruži upotrebljive podatke.

Provođenje stolnih vježbi koje pretpostavljaju kvar EDR-a. Planovi odgovora na incidente koji pretpostavljaju da je EDR uvijek operativan zatajit će upravo u scenarijima gdje su najpotrebniji. Vježbajte odgovaranje na scenarije u kojima telemetrija krajnjih točaka nije dostupna.

Ransomware operateri jasno su izložili svoju strategiju: ukloniti alate dizajnirane da ih zaustave prije nego što isporuče svoj payload. Organizacije koje će najbolje proći su one koje se ne oslanjaju ni na jedan pojedinačni sloj da nosi cijeli obrambeni teret. Sada je vrijeme da revidirate svoj sigurnosni skup, provjerite jesu li kompenzacijske kontrole na mjestu na mrežnoj razini i osigurate da vaši planovi odgovora na incidente uzimaju u obzir svijet u kojem vaši alati za krajnje točke možda neće biti tu kada vam budu najpotrebniji.