Фреймворки програм-вимагачів, що вимикають EDR, вимагають багаторівневого захисту
Угруповання програм-вимагачів тихо переписали правила власних атак. Замість того щоб поспішати зашифрувати файли, поки засоби безпеки не встигли відреагувати, багато з них тепер роблять більш розважливий перший крок: повністю вимикають ці інструменти. Поширення тактики вимкнення EDR ставить під сумнів фундаментальне припущення, яке роками формувало корпоративну безпеку, — що програмне забезпечення для виявлення та реагування на кінцевих точках (EDR) є надійним останнім рубежем захисту.
Коли зловмисники можуть нейтралізувати цей рівень ще до початку атаки, вся модель безпеки потребує перегляду.
Як працюють фреймворки для вимкнення EDR і чому вони поширюються
Програмне забезпечення EDR працює, відстежуючи поведінку процесів, файлову активність і мережеві виклики на рівні кінцевої точки. Воно здатне виявляти підозрілі шаблони в реальному часі, сповіщати команди безпеки або автоматично ізолювати загрози. Саме цю видимість зловмисники й прагнуть усунути.
Фреймворки-вбивці EDR, які іноді називають «EDR-кілерами», зазвичай використовують клас уразливостей, пов’язаних із легітимними, але вразливими драйверами. Оскільки Windows надає високу довіру певним підписаним драйверам рівня ядра, зловмисники завантажують вразливий драйвер на цільову машину й використовують його для завершення або засліплення процесів безпеки, що працюють у просторі користувача. Цей метод, відомий як Bring Your Own Vulnerable Driver (BYOVD), перейняли численні операції програм-вимагачів, зокрема RansomHub, яка застосувала інструмент EDRKillShifter у задокументованих ланцюгах атак.
Привабливість для зловмисників очевидна. Щойно EDR нейтралізовано, решта фаз атаки — горизонтальне переміщення, вилучення даних і шифрування файлів — можуть відбуватися зі значно меншим ризиком виявлення або переривання. Команда безпеки не бачить нічого, поки не стає надто пізно.
Ці фреймворки також поширюються, тому що поріг входу знижується. Інструментарії стають товаром і розповсюджуються в екосистемах «вимагач як послуга» (ransomware-as-a-service), тож навіть групи з обмеженою технічною підготовкою тепер можуть використовувати їх разом зі своїми шкідливими навантаженнями.
Що відбувається, коли захист кінцевих точок замовкає
Безпосереднім наслідком успішного вимкнення EDR є втрата видимості на кінцевій точці. Команди центру операцій безпеки (SOC) втрачають телеметрію. Автоматизовані правила реагування перестають спрацьовувати. Припущення, закладені в плани реагування на інциденти, більше не працюють.
Це не лише технічна проблема, а й організаційна. Чимало програм безпеки будувалися навколо ідеї, що EDR забезпечує надійний базовий рівень виявлення. Коли цей рівень зникає, команди, які не мають компенсаційних засобів контролю, опиняються перед фактом атаки, якої вони не могли передбачити.
Ширша тенденція тут пов’язана зі зміною того, як зловмисники отримують початковий доступ. Як показав Звіт Verizon про розслідування витоків даних за 2026 рік, уразливості програмного забезпечення випередили викрадені облікові дані як основний шлях проникнення. Зловмисники використовують програмні вади для отримання доступу, потім розгортають інструменти для вимкнення EDR, щоб усунути видимість, і лише після цього запускають основне шкідливе навантаження. Ці дві тенденції підсилюють одна одну.
Організації в галузі охорони здоров’я особливо вразливі. Наслідки втрати видимості в секторі, який покладається на постійно доступні системи, є надзвичайно серйозними, що продемонстрували такі інциденти, як витік даних ChipSoft, який показав, як недостатнє шифрування посилює шкоду, коли захист обходять.
Чому захист на мережевому рівні закриває прогалину
Безпека кінцевих точок і безпека мережевого рівня не дублюють одна одну. Вони спостерігають за різними речами. Навіть коли EDR засліплено, мережевий трафік усе одно рухається, і цей трафік несе сигнали.
Інструменти виявлення та реагування в мережі (NDR) відстежують трафік «схід-захід» усередині периметра, шаблони горизонтального переміщення, незвичайні DNS-запити та неочікувані вихідні з’єднання. Що важливо, вони працюють незалежно від агента на кінцевій точці. Зловмисник, який завершує процес EDR, не має прямого механізму, щоб одночасно засліпити інфраструктуру мережевого моніторингу.
VPN та зашифровані тунелі відіграють допоміжну роль у цій картині. На організаційному рівні вимога пропускати весь трафік через контрольований VPN-шлюз означає, що навіть якщо кінцеву точку скомпрометовано, мережевий шлях залишається видимим і підлягає примусовому застосуванню політик. Архітектури доступу з нульовою довірою (ZTNA) розширюють цей підхід, вимагаючи постійної перевірки на мережевому рівні, а не лише під час початкового входу.
Для віддалених працівників і розподілених команд примусове використання VPN також гарантує, що трафік із потенційно скомпрометованих кінцевих точок не оминає периметрові засоби контролю повністю. Мережевий рівень стає додатковою точкою інспекції, яку шкідливе ПЗ для вимкнення EDR не може просто завершити.
Практичні кроки: поєднання VPN, шифрування та EDR
Стійка архітектура безпеки розглядає EDR як один із кількох рівнів, а не як єдиний механізм виявлення. Ось конкретні кроки, які організації можуть вжити, щоб зменшити вразливість до атак, спрямованих на нейтралізацію EDR.
Перевірте політику драйверів. Windows Defender Application Control (WDAC) можна налаштувати так, щоб блокувати відомі вразливі драйвери ще до їх завантаження. Microsoft підтримує список блокувань, який слід активно застосовувати та постійно оновлювати. Це безпосередньо нейтралізує техніку BYOVD у її джерелі.
Увімкніть захист EDR від втручання. Більшість основних платформ EDR мають функції захисту від несанкціонованого втручання, які значно ускладнюють завершення агента з простору користувача. Ці функції не завжди ввімкнені за замовчуванням, і їх слід перевіряти під час будь-якого аудиту безпеки.
Інвестуйте у видимість на мережевому рівні. Якщо ваш поточний стек сильно покладається на телеметрію кінцевих точок, додайте NDR або аналіз мережевих потоків, щоб отримати незалежний канал виявлення. Це гарантує, що спроби горизонтального переміщення та вилучення даних залишатимуться видимими, навіть коли кінцеві точки скомпрометовано.
Зробіть VPN або ZTNA обов’язковими для всього віддаленого доступу. Вимога проходити трафік через контрольований шлюз додає додаткову точку інспекції. Поєднуйте це з політиками шифрованого зв’язку, щоб навіть перехоплений трафік не давав зловмисникові придатних для використання даних.
Проводьте настільні навчання, що передбачають відмову EDR. Плани реагування на інциденти, які виходять із того, що EDR завжди працює, зламаються саме в тих сценаріях, де вони найбільш потрібні. Відпрацьовуйте реагування на випадки, коли телеметрія кінцевих точок недоступна.
Оператори програм-вимагачів чітко окреслили свою стратегію: прибрати інструменти, призначені зупиняти їх, перш ніж запускати шкідливе навантаження. Найкраще впораються ті організації, які не покладають усе оборонне навантаження на жоден окремий рівень. Настав час перевірити свій стек безпеки, упевнитися, що компенсаційні засоби контролю працюють на мережевому рівні, і переконатися, що ваші плани реагування на інциденти враховують світ, де ваших інструментів на кінцевих точках може не бути саме тоді, коли вони найпотрібніші.
