Ransomware'owe frameworki eliminujące EDR wymagają warstwowej obrony

Ransomware'owe frameworki eliminujące EDR wymagają warstwowej obrony

Grupy ransomware po cichu przepisały reguły własnych ataków. Zamiast ścigać się z czasem, by zaszyfrować pliki, zanim narzędzia bezpieczeństwa zdążą zareagować, wiele z nich wykonuje teraz bardziej przemyślany pierwszy krok: całkowite wyłączenie tych narzędzi. Wzrost strategii obrony przed ransomware polegającej na wyłączaniu EDR podważa fundamentalne założenie, które przez lata kształtowało bezpieczeństwo w przedsiębiorstwach – że oprogramowanie do wykrywania i reagowania na punktach końcowych (EDR) stanowi niezawodną ostatnią linię ochrony.

Kiedy atakujący mogą zneutralizować tę warstwę, zanim atak się rozpocznie, cały model bezpieczeństwa wymaga ponownego przemyślenia.

Jak działają frameworki wyłączające EDR i dlaczego się rozprzestrzeniają

Oprogramowanie EDR działa poprzez monitorowanie zachowania procesów, aktywności plików i wywołań sieciowych na poziomie punktu końcowego. Może oznaczać podejrzane wzorce w czasie rzeczywistym i alarmować zespoły bezpieczeństwa lub automatycznie poddawać kwarantannie zagrożenia. Ta widoczność jest dokładnie tym, co atakujący chcą wyeliminować.

Frameworki eliminujące EDR, czasami nazywane „EDR killerami", zazwyczaj wykorzystują klasę luk związanych z legalnymi, ale podatnymi na ataki sterownikami. Ponieważ Windows przyznaje pewnym podpisanym sterownikom poziomu jądra wysoki poziom zaufania, atakujący ładują podatny sterownik na maszynę docelową i wykorzystują go jako nośnik do zakończenia lub zaślepienia procesów bezpieczeństwa działających w przestrzeni użytkownika. Ta technika, szerzej znana jako Bring Your Own Vulnerable Driver (BYOVD), została przyjęta przez wiele operacji ransomware, w tym RansomHub, który wykorzystał narzędzie EDRKillShifter w udokumentowanych łańcuchach ataków.

Korzyść dla atakujących jest oczywista. Gdy EDR zostanie zneutralizowane, pozostałe fazy ataku – w tym ruch boczny, eksfiltracja danych i szyfrowanie plików – mogą przebiegać ze znacznie zmniejszonym ryzykiem wykrycia lub przerwania. Zespół bezpieczeństwa nie widzi niczego, dopóki nie jest za późno.

Frameworki te rozprzestrzeniają się również dlatego, że bariera wejścia się obniża. Zestawy narzędzi są utowarawiane i udostępniane w ekosystemach ransomware-as-a-service, co oznacza, że grupy o ograniczonym zaawansowaniu technicznym mogą teraz wdrażać je razem ze swoimi ładunkami.

Co się dzieje, gdy zabezpieczenia punktów końcowych przestają działać

Bezpośrednią konsekwencją udanego wyłączenia EDR jest utrata widoczności na punkcie końcowym. Zespoły centrum operacji bezpieczeństwa (SOC) tracą telemetrię. Zautomatyzowane reguły reagowania przestają działać. Założenia wbudowane w podręczniki reagowania na incydenty przestają obowiązywać.

To nie jest tylko problem techniczny. To problem organizacyjny. Wiele programów bezpieczeństwa zostało zbudowanych wokół założenia, że EDR zapewnia solidną podstawę wykrywania. Kiedy ta podstawa znika, zespoły pozbawione kompensacyjnych mechanizmów kontrolnych reagują na atak, którego nie mogły przewidzieć.

Szerszy wzorzec wiąże się tu ze zmianą sposobu, w jaki atakujący w ogóle uzyskują początkowy dostęp. Jak wykazał raport Verizon 2026 Data Breach Investigations Report, luki w oprogramowaniu wyprzedziły skradzione dane uwierzytelniające jako główny punkt wejścia w naruszeniach. Atakujący wykorzystują luki w oprogramowaniu, aby uzyskać dostęp, a następnie wdrażają narzędzia wyłączające EDR, aby usunąć widoczność, zanim zrealizują swój główny ładunek. Te dwa trendy wzajemnie się napędzają.

Szczególnie narażone są organizacje opieki zdrowotnej. Konsekwencje luki w widoczności w sektorze, który opiera się na systemach zawsze dostępnych, są poważne, co pokazały incydenty takie jak naruszenie w ChipSoft, które uwypukliło, jak nieodpowiednie szyfrowanie potęguje szkody, gdy zabezpieczenia zostaną ominięte.

Dlaczego zabezpieczenia warstwy sieciowej wypełniają lukę

Zabezpieczenia punktów końcowych i zabezpieczenia warstwy sieciowej nie są redundantne. Obserwują różne rzeczy. Nawet gdy EDR jest zaślepione, ruch sieciowy nadal płynie, a ten ruch niesie ze sobą sygnały.

Narzędzia do wykrywania i reagowania sieciowego (NDR) monitorują ruch wschód-zachód wewnątrz obwodu sieci, wzorce ruchu bocznego, nietypowe zapytania DNS i nieoczekiwane połączenia wychodzące. Co kluczowe, działają one niezależnie od agenta punktu końcowego. Atakujący, który zakończy proces EDR, nie ma bezpośredniego mechanizmu, aby jednocześnie zaślepić infrastrukturę monitorowania sieci.

VPN i szyfrowane tunele odgrywają rolę wspierającą w tym obrazie. Na poziomie organizacyjnym wymaganie, aby cały ruch przechodził przez monitorowaną bramę VPN, oznacza, że nawet jeśli punkt końcowy zostanie skompromitowany, ścieżka sieciowa pozostaje widoczna i podlega egzekwowaniu zasad. Architektury zerowego zaufania do dostępu sieciowego (ZTNA) rozszerzają to jeszcze bardziej, wymagając ciągłej weryfikacji w warstwie sieci, a nie tylko przy początkowym logowaniu.

W przypadku pracowników zdalnych i zespołów rozproszonych wymuszanie VPN zapewnia również, że ruch z potencjalnie skompromitowanych punktów końcowych nie omija całkowicie kontroli obwodowej. Warstwa sieciowa staje się drugim punktem inspekcji, którego złośliwe oprogramowanie wyłączające EDR nie może po prostu zakończyć.

Praktyczne kroki: warstwowe łączenie VPN i szyfrowania z EDR

Odporna architektura bezpieczeństwa traktuje EDR jako jedną z wielu warstw, a nie jedyny mechanizm wykrywania. Oto konkretne kroki, które organizacje mogą podjąć, aby zmniejszyć narażenie na ataki neutralizujące EDR.

Audytuj swoją politykę sterowników. Windows Defender Application Control (WDAC) można skonfigurować tak, aby blokował znane podatne sterowniki, zanim zostaną załadowane. Microsoft prowadzi listę blokowanych sterowników, która powinna być aktywnie stosowana i aktualizowana. To bezpośrednio uderza w technikę BYOVD u jej źródła.

Włącz ochronę przed manipulacją EDR. Większość głównych platform EDR zawiera funkcje ochrony przed manipulacją, które znacznie utrudniają zakończenie działania agenta z przestrzeni użytkownika. Funkcje te nie zawsze są domyślnie włączone i należy je zweryfikować w ramach każdego audytu bezpieczeństwa.

Zainwestuj w widoczność warstwy sieciowej. Jeśli Twój obecny stos w dużym stopniu opiera się na telemetrii punktów końcowych, dodaj NDR lub analizę przepływów sieciowych, aby zapewnić niezależny kanał wykrywania. Gwarantuje to, że próby ruchu bocznego i eksfiltracji pozostaną widoczne, nawet gdy punkty końcowe są skompromitowane.

Wymuszaj VPN lub ZTNA dla całego dostępu zdalnego. Wymaganie, aby ruch przechodził przez monitorowaną bramę, dodaje drugi punkt inspekcji. Połącz to z politykami szyfrowanej komunikacji, aby zapewnić, że nawet przechwycony ruch nie dostarczy atakującemu użytecznych danych.

Przeprowadzaj ćwiczenia sztabowe zakładające awarię EDR. Plany reagowania na incydenty, które zakładają, że EDR jest zawsze sprawne, zawiodą właśnie w tych scenariuszach, w których są najbardziej potrzebne. Ćwicz reagowanie na scenariusze, w których telemetria punktów końcowych jest niedostępna.

Operatorzy ransomware wyrazili swoją strategię jasno: usuń narzędzia zaprojektowane, by ich powstrzymać, zanim zrealizują swój ładunek. Organizacje, które poradzą sobie najlepiej, to te, które nie polegają na żadnej pojedynczej warstwie w dźwiganiu całego ciężaru obrony. Nadszedł czas, aby przeprowadzić audyt swojego stosu zabezpieczeń, zweryfikować, czy na poziomie sieci istnieją mechanizmy kompensacyjne, i upewnić się, że plany reagowania na incydenty uwzględniają świat, w którym narzędzia punktów końcowych mogą nie być dostępne, gdy będą najbardziej potrzebne.