EDR-t letiltó zsarolóvírus-keretrendszerek többrétegű védelmet követelnek
A zsarolóvírus-csoportok csendben újraírták saját támadásaik szabályait. Ahelyett, hogy azon versenyeznének, hogy titkosítsák a fájlokat, mielőtt a biztonsági eszközök reagálhatnának, sokan egy sokkal kiszámítottabb első lépést tesznek: teljesen letiltják ezeket az eszközöket. Az EDR-t letiltó zsarolóvírus-védelmi stratégia térnyerése megkérdőjelezi azt az alapvető feltételezést, amely évek óta formálta a vállalati biztonságot – hogy a végponti észlelésre és reagálásra (EDR) szolgáló szoftver megbízható utolsó védelmi vonalként szolgál.
Amikor a támadók képesek ezt a réteget még a támadás megkezdése előtt semlegesíteni, a teljes biztonsági modellt újra kell gondolni.
Hogyan működnek az EDR-t letiltó keretrendszerek, és miért terjednek
Az EDR-szoftverek a végpont szintjén figyelik a folyamatok viselkedését, a fájlműveleteket és a hálózati hívásokat. Valós időben jelezhetik a gyanús mintákat, riaszthatják a biztonsági csapatokat, vagy automatikusan karanténba helyezhetik a fenyegetéseket. A támadók pontosan ezt a láthatóságot akarják megszüntetni.
Az EDR-t letiltó keretrendszerek – néha „EDR gyilkosoknak” is nevezik őket – általában egy olyan sebezhetőségi osztályt használnak ki, amely aláírt, de sérülékeny illesztőprogramokhoz kapcsolódik. Mivel a Windows bizonyos aláírt kernel szintű illesztőprogramoknak magas szintű bizalmat biztosít, a támadók egy sérülékeny illesztőprogramot töltenek be a célgépre, és azt használják járműként a felhasználói térben futó biztonsági folyamatok leállítására vagy megvakítására. Ezt a technikát – amelyet széles körben Bring Your Own Vulnerable Driver (BYOVD) néven ismernek – számos zsarolóvírus-művelet átvette, köztük a RansomHub is, amely dokumentált támadási láncokban vetette be az EDRKillShifter eszközt.
A vonzerő a támadók számára egyértelmű. Amint az EDR-t semlegesítik, a támadás hátralévő fázisai – oldalirányú mozgás, adatkiszivárgás és fájltitkosítás – jelentősen csökkentett észlelési vagy megszakítási kockázat mellett folytathatók. A biztonsági csapat addig nem lát semmit, amíg túl késő nem lesz.
Ezek a keretrendszerek azért is terjednek, mert a belépési korlát csökken. Az eszközkészletek árucikké válnak, és megosztásra kerülnek a zsarolóvírus-szolgáltatásként működő ökoszisztémákban, ami azt jelenti, hogy korlátozott technikai felkészültségű csoportok is bevethetik őket a hasznos terheikkel együtt.
Mi történik, amikor a végponti biztonság elsötétül
Egy sikeres EDR-leállítás azonnali következménye a láthatóság teljes elvesztése a végponton. A biztonsági műveleti központ (SOC) csapatai elveszítik a telemetriát. Az automatizált válaszszabályok leállnak. Az incidenskezelési forgatókönyvekbe épített feltételezések már nem állják meg a helyüket.
Ez nem csupán technikai probléma. Szervezeti probléma is. Sok biztonsági programot arra az elképzelésre építettek, hogy az EDR megbízható észlelési alapot biztosít. Amikor ez az alap eltűnik, a kompenzáló kontrollokkal nem rendelkező csapatok egy olyan támadásra kényszerülnek reagálni, amelynek érkezését nem láthatták.
A tágabb minta itt kapcsolódik ahhoz a változáshoz, ahogyan a támadók eleve hozzáférést szereznek. Ahogy a Verizon 2026-os adatvédelmi incidens vizsgálati jelentése megállapította, a szoftversérülékenységek megelőzték a lopott hitelesítő adatokat, mint az incidensek vezető belépési pontját. A támadók szoftverhibákat használnak ki a hozzáférés megszerzéséhez, majd EDR-t letiltó eszközöket vetnek be a láthatóság megszüntetésére, mielőtt végrehajtanák elsődleges hasznos terhüket. A két trend erősíti egymást.
Az egészségügyi szervezetek különösen kitettek. A láthatósági rés következményei egy olyan ágazatban, amely a folyamatosan elérhető rendszerekre támaszkodik, súlyosak – ahogy azt az olyan incidensek is mutatják, mint a ChipSoft incidens, amely rávilágított arra, hogy a nem megfelelő titkosítás hogyan súlyosbítja a kárt, amikor a védelmeket kijátsszák.
Miért pótolják a hiányt a hálózati réteg védelmei
A végponti biztonság és a hálózati réteg biztonsága nem redundánsak. Máshol figyelnek meg dolgokat. Még akkor is, ha egy EDR meg van vakítva, a hálózati forgalom továbbra is áramlik, és ez a forgalom jeleket hordoz.
A hálózati észlelési és reagálási (NDR) eszközök figyelik a hálózati periméteren belüli kelet-nyugati forgalmat, az oldalirányú mozgás mintáit, a szokatlan DNS-lekérdezéseket és a váratlan kimenő kapcsolatokat. Lényeges, hogy a végponti ágenstől függetlenül működnek. Az a támadó, aki leállít egy EDR-folyamatot, nem rendelkezik közvetlen mechanizmussal a hálózati megfigyelő infrastruktúra egyidejű megvakítására.
A VPN-ek és a titkosított alagutak támogató szerepet játszanak ebben a képben. Szervezeti szinten annak előírása, hogy minden forgalom egy felügyelt VPN-átjárón haladjon keresztül, azt jelenti, hogy még ha egy végpont kompromittálódik is, a hálózati útvonal látható marad, és aláveti magát a házirendek érvényesítésének. A nulla bizalmi hálózati hozzáférés (ZTNA) architektúrák ezt tovább bővítik azzal, hogy folyamatos ellenőrzést követelnek meg a hálózati rétegben, nem csupán a kezdeti bejelentkezéskor.
Távoli munkavállalók és elosztott csapatok esetében a VPN-érvényesítés azt is biztosítja, hogy a potenciálisan kompromittált végpontok forgalma ne kerülje meg teljesen a periméteres kontrollokat. A hálózati réteg másodlagos ellenőrzési ponttá válik, amelyet az EDR-t letiltó kártevő nem tud egyszerűen leállítani.
Gyakorlati lépések: VPN-ek és titkosítás rétegezése az EDR mellé
Egy ellenálló biztonsági architektúra az EDR-t csupán egy rétegként kezeli a sok közül, nem pedig egyedüli észlelési mechanizmusként. Íme konkrét lépések, amelyeket a szervezetek megtehetnek az EDR-semlegesítési támadásoknak való kitettség csökkentésére.
Illesztőprogram-házirend auditálása. A Windows Defender Application Control (WDAC) konfigurálható úgy, hogy blokkolja az ismerten sérülékeny illesztőprogramokat, mielőtt betöltődnének. A Microsoft karbantart egy letiltási listát, amelyet aktívan alkalmazni kell, és naprakészen kell tartani. Ez közvetlenül a BYOVD technikát célozza meg a forrásánál.
EDR védetté nyilvánítás elleni védelem engedélyezése. A legtöbb nagyobb EDR-platform tartalmaz védetté nyilvánítás elleni védelmi funkciókat, amelyek jelentősen megnehezítik az ágens leállítását felhasználói térből. Ezek a funkciók nem mindig vannak alapértelmezés szerint engedélyezve, ezért minden biztonsági audit részeként ellenőrizni kell őket.
Fektessen be a hálózati réteg láthatóságába. Ha a jelenlegi rendszere nagymértékben támaszkodik a végponti telemetriára, adjon hozzá NDR-t vagy hálózati forgalomelemzést, hogy független észlelési csatornát biztosítson. Ez biztosítja, hogy az oldalirányú mozgás és az adatkiszivárgási kísérletek akkor is láthatóak maradjanak, ha a végpontok kompromittálódtak.
VPN vagy ZTNA kikényszerítése minden távoli hozzáféréshez. Annak előírása, hogy a forgalom egy felügyelt átjárón haladjon keresztül, egy másodlagos ellenőrzési pontot ad hozzá. Kombinálja ezt titkosított kommunikációs házirendekkel, hogy még az elfogott forgalom se szolgáltasson használható adatokat a támadó számára.
Végezzen asztali gyakorlatokat, amelyek az EDR meghibásodását feltételezik. Azok az incidenskezelési tervek, amelyek feltételezik, hogy az EDR mindig működőképes, pontosan azokban a forgatókönyvekben fognak összeomlani, ahol a legnagyobb szükség van rájuk. Gyakorolja a reagálást olyan helyzetekre, amikor a végponti telemetria nem elérhető.
A zsarolóvírus-üzemeltetők világossá tették stratégiájukat: távolítsd el a megállításukra tervezett eszközöket, mielőtt bevetnéd a hasznos terhet. Azok a szervezetek fognak a legjobban teljesíteni, amelyek nem támaszkodnak egyetlen rétegre a teljes védelmi teher viselésében. Itt az ideje, hogy auditálja biztonsági rendszerét, ellenőrizze, hogy a hálózati szinten kompenzáló kontrollok vannak érvényben, és biztosítsa, hogy incidenskezelési tervei számoljanak egy olyan világgal, ahol a végponti eszközei lehet, hogy nincsenek ott, amikor a legnagyobb szüksége lenne rájuk.
