Monitorando as tendências globais de ransomware, os pesquisadores da ESET observaram um aumento na variedade de EDR killers desenvolvidos para prejudicar ferramentas de cibersegurança. O objetivo óbvio é permitir a execução suave do encriptador de ransomware, representando mais um desafio para as empresas que tentam se defender de ataques com motivação financeira.
Paralelamente, a ESET Research também conduziu uma análise mais profunda do ecossistema de ransomware, com foco na grupo emergente de ransomware -as-a-service,, RansomHub, e na estrutura de sua rede de afiliados. Por fim, os vínculos entre o aumento na variedade de EDR killers e o grupo APT foram revelados ao seguir o rastro das ferramentas oferecidas pelo RansomHub. Compreender essas conexões pode oferecer pistas sobre o aumento das detecções de EDR killers e como os defensores podem mitigar esses riscos.
Essas ferramentas assustadoras podem ser detidas, e medidas adequadas de prevenção, juntamente com uma solução de cibersegurança confiável de um fornecedor experiente, devem oferecer a proteção necessária.
Infiltrando o kernel
Malwares projetados para localizar e desativar defesas de segurança corporativas aumentaram drasticamente em popularidade, com um crescimento impressionante de 333%, segundo o Picus Red Report 2024.
Versões mais simples de EDR killers assumem a forma de scripts que tentam, de forma direta, encerrar uma lista de processos. Já as mais sofisticadas vão além e utilizam a técnica conhecida como Bring Your Own Vulnerable Driver (BYOVD), abusando de drivers legítimos, porém vulneráveis (geralmente mais antigos), para acessar o kernel do sistema operacional alvo.
Um EDR killer típico emprega um componente em modo de usuário responsável pela orquestração (código killer) para instalar um driver vulnerável, geralmente embutido em seus dados ou recursos. Em seguida, percorre uma lista de nomes de processos e emite um comando ao driver vulnerável para encerrar o processo, explorando o acesso que o driver tem ao kernel.
Ferramentas legítimas também são abusadas por afiliados de ransomware para atuarem como EDR killers. Por exemplo, removedores de rootkits, por natureza, requerem acesso ao modo kernel e precisam inspecionar de perto o funcionamento interno do sistema operacional. Essa é uma funcionalidade poderosa que pode ser explorada por agentes de ameaças maliciosas.
Como se preparar contra EDR killers
Defender-se de EDR killers não é uma tarefa simples e exige uma abordagem focada em prevenção, além de uma proteção em camadas capaz de detectar malwares em múltiplos estágios do ataque. Aqui vão algumas dicas:
EDR de alta qualidade é essencial – Um EDR killer é uma ferramenta de ataque sofisticada; da mesma forma, a solução de cibersegurança implantada no endpoint alvo precisa ser de alto nível. Isso significa que ela deve ser capaz de detectar o código malicioso que abusa do driver vulnerável, mesmo antes da execução. No entanto, devido à forte ofuscação ou outras técnicas de evasão, isso pode nem sempre ser possível.
Proteção contra adulteração (Tamper protection) – Isso impede que usuários não autorizados desativem ou modifiquem componentes ou funcionalidades da solução de segurança.
Bloqueio de drivers vulneráveis – Isso pode ser feito por meio de políticas rigorosas sobre aplicativos potencialmente inseguros (PUA) e detecções baseadas em arquivos. Para evitar interrupções no sistema, considere começar com um modo “Detectar, mas não limpar”, depois adicionar exclusões conforme necessário e, por fim, migrar para o modo “Detectar e limpar”.
Gerenciamento de vulnerabilidades e patches – Agentes de ameaça sofisticados podem tentar explorar drivers vulneráveis já presentes na máquina comprometida, em vez de depender do BYOVD. Portanto, ter um bom gerenciamento de patches é outro método eficaz de defesa.
Reforço do controle de aplicações (Harden Application Control) – Melhore suas defesas por meio do controle de aplicações. Por exemplo, com o Windows Defender Application Control (WDAC), é possível criar uma política que permite apenas o carregamento de drivers selecionados. Outras plataformas utilizam tecnologias como o Sistema de Prevenção de Intrusão Baseado em Host (HIPS) da ESET, que usa “Regras” para bloquear aplicações.
Limite o acesso às configurações de segurança do endpoint – Usar uma senha forte para proteger essas configurações adiciona uma camada extra de segurança.
Conheça seu ambiente – Essas ferramentas exigem atenção e conhecimento detalhado dos sistemas protegidos para evitar interferências em softwares legítimos e possíveis interrupções nos negócios.
Lembre-se de que a criptografia de arquivos e a extorsão posterior são, geralmente, os estágios finais de um ataque. Em outras palavras, a rede já foi invadida anteriormente e o atacante obteve privilégios administrativos, o que permitiu avançar para as etapas de uso de EDR killer e implantação de ransomware. Cabe aos defensores identificar o ataque logo no início para impedir que ele progrida até esse ponto. Isso demonstra a importância da prevenção e da necessidade de uma mitigação rápida.
Dicas profissionais: detecções do ESET Inspect relevantes para EDR killers
As seguintes regras de detecção disponíveis no sistema ESET Inspect podem ajudar a identificar e bloquear ameaças que utilizam EDR killers:
Loaded Driver from Uncommon Location [D1303] – Alguns EDR killers carregam drivers a partir de locais incomuns. Essa detecção alerta os administradores sobre esse comportamento.
Possible EDR Blinding – Vulnerable Driver [Q1301] – Detecta o carregamento de drivers vulneráveis utilizados no projeto RealblindingEDR.
Vulnerable Driver Masquerading [Q1302] e Vulnerable Zemana Driver Loaded [Q1303] – Detectam o descarregamento ou carregamento de versões vulneráveis de determinados drivers que já foram observados sendo explorados em ataques de ransomware. Possuem alta severidade e geram a criação de um incidente.
Loaded Known Vulnerable Driver [D1302] – Emite um alerta caso um dos diversos drivers legítimos, porém vulneráveis, seja carregado.
Imagem 1. Alerta do ESET Inspect sobre o carregamento de um driver vulnerável
Menos é mais: simplifique!
Adotar uma abordagem focada em prevenção não significa apenas investir em produtos de segurança de ponta é também priorizar a higiene cibernética e reduzir a sobrecarga da equipe de TI. A fadiga de alertas é um problema real que pode abrir caminho para incidentes se não for tratada adequadamente. Combater EDR killers exige atenção total de especialistas em TI, por isso, contar com tecnologias que simplifiquem o processo faz toda a diferença.
Para facilitar o dia a dia da equipe de TI, a ESET Protect Platform oferece um conjunto completo de funcionalidades em um único painel, proporcionando visibilidade total dos sistemas protegidos. Todas as soluções e módulos são pensados para reduzir ao máximo a necessidade de cliques, portais e interações, tornando a operação mais fluida.
Por exemplo, o ESET Inspect oferece ações de resposta com apenas um clique: desligar um endpoint, isolá-lo da rede ou encerrar um processo em execução. Além disso, permite caça proativa a ameaças por meio de uma busca poderosa por IoCs com filtros intuitivos, fácil de operar pelos administradores. Já o ESET Vulnerability & Patch Management contribui para a redução da fadiga de alertas com políticas de correção personalizáveis, priorização por severidade, filtros e gerenciamento centralizado.
Prepare-se
Evitar que cibercriminosos obtenham privilégios administrativos e implantem EDR killers é exatamente onde a abordagem preventiva e a segurança em camadas da ESET se destacam.
EDR killers são ameaças sérias, mas o uso de drivers vulneráveis como vetor de ataque é conhecido e diferente de uma vulnerabilidade zero-day, que pode deixar empresas totalmente desprotegidas. O desafio está no nível de atenção exigido dos administradores e na sofisticação necessária das soluções de segurança.
Ataques como esses reforçam a importância de contar com uma proteção robusta, confiável e simples, assim, reduzindo a complexidade da defesa cibernética ao essencial.