EDR-dödande ransomware-ramverk kräver ett flerskiktat försvar

EDR-dödande ransomware-ramverk kräver ett flerskiktat försvar

Ransomware-grupper har i det tysta skrivit om reglerna för sina egna attacker. Istället för att skynda sig att kryptera filer innan säkerhetsverktygen hinner reagera, tar många nu ett mer beräknande första steg: att inaktivera dessa verktyg helt. Framväxten av EDR-inaktiverande ransomware utmanar ett grundläggande antagande som har format företagssäkerhet i åratal – att endpoint detection and response (EDR)-programvara fungerar som en pålitlig sista skyddslinje.

När angripare kan neutralisera det lagret redan innan attacken börjar, måste hela säkerhetsmodellen omprövas.

Hur EDR-inaktiverande ramverk fungerar och varför de sprids

EDR-programvara fungerar genom att övervaka processbeteende, filaktivitet och nätverksanrop på endpoint-nivå. Den kan flagga misstänkta mönster i realtid och varna säkerhetsteam eller automatiskt sätta hot i karantän. Den synligheten är precis vad angripare vill eliminera.

EDR-dödande ramverk, ibland kallade "EDR killers", utnyttjar vanligtvis en sårbarhetsklass kopplad till legitima men sårbara drivrutiner. Eftersom Windows ger vissa signerade drivrutiner på kärnnivå högt förtroende, laddar angripare en sårbar drivrutin på målmaskinen och använder den som ett verktyg för att avsluta eller förblinda säkerhetsprocesser som körs i användarutrymmet. Denna teknik, allmänt känd som Bring Your Own Vulnerable Driver (BYOVD), har anammats av flera ransomware-operationer, däribland RansomHub, som använde verktyget EDRKillShifter i dokumenterade attackkedjor.

Attraktionskraften för angripare är uppenbar. När EDR väl är oskadliggjort kan de återstående attackfaserna, inklusive lateral förflyttning, dataexfiltration och filkryptering, genomföras med betydligt minskad risk för upptäckt eller avbrott. Säkerhetsteamet ser ingenting förrän det är för sent.

Dessa ramverk sprids också eftersom tröskeln för inträde sänks. Verktygslådor kommersialiseras och delas inom ransomware-as-a-service-ekosystem, vilket innebär att grupper med begränsad teknisk sofistikering nu kan använda dem tillsammans med sina skadeprogram.

Vad som händer när din endpointsäkerhet slocknar

Den omedelbara konsekvensen av en framgångsrik EDR-dödning är ett synlighetsbortfall vid endpointen. Security operations center (SOC)-team förlorar telemetri. Automatiserade svarsregler slutar utlösas. Antagandena som är inbyggda i incidenthanteringsplaner gäller inte längre.

Detta är inte bara ett tekniskt problem. Det är ett organisatoriskt sådant. Många säkerhetsprogram har utformats kring tanken att EDR ger en pålitlig detekteringsgrund. När den grunden försvinner, finner sig team som saknar kompenserande kontroller stå inför en attack de inte kunde se komma.

Det bredare mönstret här hänger samman med en förändring i hur angripare får inledande åtkomst överhuvudtaget. Som Verizons rapport om dataintrång 2026 visade har sårbarheter i programvara gått om stulna inloggningsuppgifter som den främsta ingångspunkten vid intrång. Angripare utnyttjar programvarubrister för att få åtkomst, använder sedan EDR-inaktiverande verktyg för att ta bort synlighet innan de kör sin primära skadeprogramvara. De två trenderna förstärker varandra.

Hälso- och sjukvårdsorganisationer är särskilt utsatta. Konsekvenserna av en synlighetslucka i en sektor som är beroende av ständigt tillgängliga system är allvarliga, vilket framgår av incidenter som ChipSoft-intrånget, som belyste hur otillräcklig kryptering förvärrar skadan när försvar kringgås.

Varför nätverkslagrets försvar täcker gapet

Endpoint-säkerhet och nätverkslagersäkerhet är inte redundanta. De observerar olika saker. Även när en EDR är förblindad, flödar nätverkstrafiken fortfarande, och den trafiken bär signaler.

Network detection and response (NDR)-verktyg övervakar öst-västlig trafik innanför nätverkets omkrets, laterala förflyttningsmönster, ovanliga DNS-frågor och oväntade utgående anslutningar. Avgörande är att de fungerar oberoende av endpoint-agenten. En angripare som dödar en EDR-process har ingen direkt mekanism för att samtidigt förblinda nätverksövervakningsinfrastrukturen.

VPN och krypterade tunnlar spelar en stödjande roll i denna bild. På organisationsnivå innebär krav på att all trafik ska passera genom en övervakad VPN-gateway att nätverksvägen förblir synlig och föremål för policyefterlevnad, även om en endpoint är komprometterad. Zero-trust network access (ZTNA)-arkitekturer utvidgar detta ytterligare genom att kräva kontinuerlig verifiering på nätverksnivå, inte bara vid inledande inloggning.

För distansarbetare och distribuerade team säkerställer VPN-tvång också att trafik från potentiellt komprometterade endpoints inte helt kringgår perimeterkontroller. Nätverkslagret blir en sekundär inspektionspunkt som EDR-dödande skadeprogram inte enkelt kan avsluta.

Praktiska steg: Skiktning av VPN och kryptering tillsammans med EDR

En motståndskraftig säkerhetsarkitektur behandlar EDR som ett lager bland flera, inte som den enda detekteringsmekanismen. Här är konkreta steg organisationer kan ta för att minska exponeringen för EDR-neutraliserande attacker.

Granska din drivrutinspolicy. Windows Defender Application Control (WDAC) kan konfigureras för att blockera kända sårbara drivrutiner innan de laddas. Microsoft upprätthåller en blockeringslista som aktivt bör tillämpas och hållas aktuell. Detta angriper BYOVD-tekniken direkt vid källan.

Aktivera manipuleringsskydd för EDR. De flesta större EDR-plattformar har funktioner för manipuleringsskydd som gör det betydligt svårare att döda agenten från användarutrymmet. Dessa funktioner är inte alltid aktiverade som standard och bör verifieras som en del av varje säkerhetsrevision.

Investera i synlighet på nätverkslagret. Om din nuvarande teknikstack är starkt beroende av endpoint-telemetri, lägg till NDR eller nätverksflödesanalys för att tillhandahålla en oberoende detekteringskanal. Detta säkerställer att lateral förflyttning och exfiltreringsförsök förblir synliga även när endpoints är komprometterade.

Tillämpa VPN eller ZTNA för all fjärråtkomst. Krav på att trafik ska passera en övervakad gateway lägger till en sekundär inspektionspunkt. Kombinera detta med policyer för krypterad kommunikation för att säkerställa att även avlyssnad trafik inte ger användbara data till en angripare.

Genomför skrivbordsövningar som antar EDR-bortfall. Incidenthanteringsplaner som antar att EDR alltid är i drift kommer att bryta samman i just de scenarier där de behövs som mest. Öva på att hantera scenarier där endpoint-telemetri inte är tillgänglig.

Ransomware-operatörer har gjort sin strategi tydlig: ta bort de verktyg som är utformade för att stoppa dem innan de levererar sin skadeprogramvara. De organisationer som kommer att klara sig bäst är de som inte förlitar sig på att något enskilt lager ska bära hela försvarsbördan. Nu är det dags att granska din säkerhetsstack, verifiera att kompenserande kontroller finns på plats på nätverksnivå och säkerställa att dina incidenthanteringsplaner tar hänsyn till en värld där dina endpoint-verktyg kanske inte finns där när du behöver dem som mest.