Программы-вымогатели, отключающие EDR, требуют многоуровневой защиты

Программы-вымогатели, отключающие EDR, требуют многоуровневой защиты

Группы вымогателей незаметно переписали правила собственных атак. Вместо того чтобы спешить зашифровать файлы до реакции защитных инструментов, многие теперь делают более расчётливый первый шаг: полностью отключают эти инструменты. Распространение тактики отключения EDR ставит под вопрос фундаментальное предположение, годами определявшее корпоративную безопасность, — что программное обеспечение для обнаружения и реагирования на конечных точках (EDR) служит надёжным последним рубежом защиты.

Когда атакующие могут нейтрализовать этот слой ещё до начала атаки, вся модель безопасности требует пересмотра.

Как работают фреймворки отключения EDR и почему они распространяются

EDR работает, отслеживая поведение процессов, файловую активность и сетевые вызовы на уровне конечной точки. Оно способно выявлять подозрительные шаблоны в реальном времени, уведомлять команды безопасности или автоматически помещать угрозы в карантин. Именно эту видимость атакующие и стремятся уничтожить.

Фреймворки отключения EDR, иногда называемые «убийцами EDR», обычно эксплуатируют класс уязвимостей, связанный с легитимными, но уязвимыми драйверами. Поскольку Windows предоставляет высокое доверие некоторым подписанным драйверам уровня ядра, злоумышленники загружают уязвимый драйвер на целевую машину и используют его как средство для завершения или ослепления защитных процессов, работающих в пользовательском пространстве. Этот метод, широко известный как Bring Your Own Vulnerable Driver (BYOVD), был взят на вооружение несколькими вымогательскими операциями, включая RansomHub, который применил инструмент EDRKillShifter в задокументированных цепочках атак.

Привлекательность для атакующих очевидна. Как только EDR нейтрализован, оставшиеся фазы атаки — горизонтальное перемещение, эксфильтрация данных и шифрование файлов — могут выполняться со значительно меньшим риском обнаружения или прерывания. Команда безопасности не видит ничего, пока не становится слишком поздно.

Эти фреймворки распространяются ещё и потому, что снижается порог входа. Инструментарий превращается в товар и распространяется в экосистемах «вымогатель как услуга»; теперь даже группы с ограниченной технической подготовкой могут развёртывать его вместе со своей полезной нагрузкой.

Что происходит, когда защита конечной точки теряет зрение

Непосредственное последствие успешного отключения EDR — полная потеря видимости на конечной точке. Команды центра мониторинга безопасности (SOC) теряют телеметрию. Автоматические правила реагирования перестают срабатывать. Допущения, заложенные в планы реагирования на инциденты, перестают действовать.

Это не просто техническая проблема, а организационная. Многие программы безопасности строились вокруг идеи, что EDR обеспечивает надёжный нижний уровень обнаружения. Когда этот уровень исчезает, команды, не имеющие компенсирующих мер контроля, вынуждены реагировать на атаку, которую они не могли предвидеть.

Более широкая картина связана с изменением способов первоначального проникновения. Как показал Verizon 2026 Data Breach Investigations Report, уязвимости программного обеспечения обогнали украденные учётные данные в качестве ведущей точки входа при взломах. Атакующие эксплуатируют программные уязвимости для получения доступа, затем развёртывают средства отключения EDR, чтобы убрать видимость, и только потом запускают основную нагрузку. Обе тенденции усиливают друг друга.

Особенно уязвимы организации здравоохранения. Последствия потери видимости в секторе, зависящем от постоянно доступных систем, крайне серьёзны, что показали инциденты, подобные взлому ChipSoft. Они продемонстрировали, как недостаточное шифрование усугубляет ущерб, когда защита обойдена.

Почему защита на сетевом уровне заполняет пробел

Безопасность конечных точек и безопасность на сетевом уровне не дублируют друг друга. Они наблюдают за разными объектами. Даже когда EDR ослеплён, сетевой трафик продолжает течь, и этот трафик несёт в себе сигналы.

Инструменты сетевого обнаружения и реагирования (NDR) отслеживают трафик «восток-запад» внутри периметра сети, шаблоны горизонтального перемещения, необычные DNS-запросы и неожиданные исходящие соединения. Критически важно, что они работают независимо от агента на конечной точке. У атакующего, отключившего процесс EDR, нет прямого механизма одновременно ослепить инфраструктуру сетевого мониторинга.

VPN и зашифрованные туннели играют вспомогательную роль в этой картине. На уровне организации требование пропускать весь трафик через контролируемый VPN-шлюз означает, что даже при компрометации конечной точки сетевой путь остаётся видимым и подпадает под действие политик. Архитектуры сетевого доступа с нулевым доверием (ZTNA) развивают этот подход, требуя непрерывной проверки на сетевом уровне, а не только при входе в систему.

Для удалённых сотрудников и распределённых команд принудительное использование VPN также гарантирует, что трафик с потенциально скомпрометированных конечных точек не обходит периметральные средства контроля. Сетевой уровень становится вторичной точкой проверки, которую вредоносное ПО, отключающее EDR, не может просто завершить.

Практические шаги: сочетание VPN, шифрования и EDR

Устойчивая архитектура безопасности рассматривает EDR как один из нескольких слоёв, а не как единственный механизм обнаружения. Вот конкретные шаги, которые организации могут предпринять для снижения подверженности атакам по нейтрализации EDR.

Проведите аудит политики драйверов. Windows Defender Application Control (WDAC) можно настроить на блокировку известных уязвимых драйверов до их загрузки. Microsoft поддерживает список блокировки, который следует активно применять и своевременно обновлять. Это нацелено непосредственно на источник техники BYOVD.

Включите защиту от несанкционированного вмешательства EDR. Большинство основных платформ EDR включают функции защиты от вмешательства, которые значительно усложняют уничтожение агента из пользовательского пространства. Эти функции не всегда включены по умолчанию; их следует проверять в ходе любого аудита безопасности.

Инвестируйте в видимость на сетевом уровне. Если ваш текущий стек сильно зависит от телеметрии конечных точек, добавьте NDR или анализ сетевых потоков, чтобы получить независимый канал обнаружения. Это гарантирует, что попытки горизонтального перемещения и эксфильтрации останутся заметными даже при компрометации конечных точек.

Обеспечьте обязательное использование VPN или ZTNA для всего удалённого доступа. Требование проходить трафик через контролируемый шлюз добавляет вторичную точку проверки. Объедините это с политиками шифрованной связи, чтобы даже перехваченный трафик не давал злоумышленнику пригодных для использования данных.

Проводите учения, исходящие из отказа EDR. Планы реагирования на инциденты, предполагающие постоянную работоспособность EDR, сломаются именно в тех сценариях, где они нужны больше всего. Отрабатывайте реагирование на ситуации, когда телеметрия конечных точек недоступна.

Операторы вымогателей чётко обозначили свою стратегию: убрать инструменты, предназначенные для их остановки, прежде чем развернуть полезную нагрузку. Лучше всего себя покажут те организации, которые не полагаются на единственный слой, несущий всю тяжесть обороны. Сейчас самое время провести аудит вашего стека безопасности, убедиться, что на сетевом уровне есть компенсирующие меры контроля, и проверить, что ваши планы реагирования учитывают мир, в котором инструменты конечных точек могут отсутствовать именно тогда, когда они нужны больше всего.