EDR-Killer – Herzstück moderner Ransomware-Operationen

Nächste PM

Der europäische IT-Sicherheitshersteller ESET veröffentlicht eine umfassende Analyse des EDR-Killer-Ökosystems und zeigt darin, wie Angreifer verwundbare Treiber missbrauchen. Der Bericht präsentiert telemetriegestützte Erkenntnisse, die weit über den üblichen treiberzentrierten Ansatz hinausgehen: Er dokumentiert, wie Affiliates – nicht Operators – die Werkzeugvielfalt bestimmen, und wie Codebases regelmäßig Treiber wiederverwenden und austauschen.

Grundlage der Untersuchung sind ESET Telemetrie und Incident-Investigations sowie die Analyse und das Tracking von fast 90 aktiv in freier Wildbahn eingesetzten EDR-Killern. Darüber hinaus bewertet ESET, dass zumindest einige der jüngst beobachteten EDR-Killer Merkmale aufweisen, die stark auf eine KI-gestützte Entwicklung hindeuten.

EDR-Killer als fester Bestandteil der Ransomware-Angriffskette

In den vergangenen Jahren haben sich EDR-Killer zu einem der am häufigsten eingesetzten Werkzeuge bei modernen Ransomware-Angriffen entwickelt: Ein Angreifer erlangt hohe Privilegien, setzt ein solches Tool ein, um den Schutz zu deaktivieren, und startet erst dann den Encryptor. Neben der allgegenwärtigen Bring Your Own Vulnerable Driver (BYOVD)-Technik beobachtet ESET auch den regelmäßigen Missbrauch legitimer Anti-Rootkit-Dienstprogramme sowie treiberlose Ansätze, um EDR-Software (Endpoint Detection and Response) zu blockieren oder zu suspendieren.

Diese Tools sind nicht nur zahlreich vorhanden, sondern verhalten sich auch vorhersehbar und konsistent – genau das macht sie für Affiliates so attraktiv. EDR-Killer stellen eine sauberere Alternative zur Evasion direkt im Encryptor dar: Statt aufwändig Evasion-Logik in jedes Encryptor-Update einzubauen, verlassen sich Angreifer auf ein externes Tool, das Sicherheitskontrollen unmittelbar vor der Ausführung deaktiviert.

Technologien im Überblick: Von Skripten bis BYOVD

Die einfachsten EDR-Killer benötigen weder verwundbare Treiber noch fortgeschrittene Techniken – sie missbrauchen lediglich integrierte Verwaltungstools wie taskkill, net stop oder sc delete. BYOVD-Techniken haben sich dagegen zum Markenzeichen moderner EDR-Killer entwickelt: allgegenwärtig, zuverlässig und weit verbreitet. In einem typischen Angriffsszenario schleust ein Angreifer einen legitimen, aber verwundbaren Treiber auf das Opfer-System ein, installiert diesen und nutzt dann Malware, die die Treiber-Schwachstelle ausnutzt.

Eine wachsende Klasse von EDR-Killern verzichtet dabei vollständig auf den Kernel-Zugriff und greift stattdessen in andere kritische Funktionen ein. EDR-Killer stützen sich häufig auf legitime, aber verwundbare Treiber – was die Verteidigung erheblich erschwert, ohne den Betrieb von Legacy- oder Unternehmenssoftware zu gefährden. Das Ergebnis sind Tools mit Kernel-Level-Wirkung bei minimalem Entwicklungsaufwand.

KI als neues Werkzeug in der Angriffsentwicklung

KI kann mittlerweile als das jüngste Werkzeug in den Arsenalen der EDR-Killer-Entwickler betrachtet werden. Zwar gibt es keinen definitiven forensischen Marker, der zuverlässig KI-generierten Code von menschlich geschriebenem Code unterscheidet – insbesondere wenn Angreifer den Code nachbearbeiten oder verschleiern. Dennoch bewertet ESET, dass zumindest einige der jüngst beobachteten EDR-Killer Merkmale aufweisen, die stark auf eine KI-gestützte Erstellung hinweisen.

Ein konkretes Beispiel liefert ein EDR-Killer, der jüngst von der Warlock-Ransomware-Gruppe eingesetzt wurde: Das Tool enthält einen Codeabschnitt, der nicht nur eine Liste möglicher Fixes ausgibt – ein typisches Muster für KI-generierte Boilerplates –, sondern anstatt einen spezifischen Treiber zu exploiten, einen Trial-and-Error-Mechanismus implementiert, der verschiedene häufig missbrauchte Gerätenamen durchläuft, bis einer funktioniert.

Arbeitsteilung im Ransomware-as-a-Service-Ökosystem

Eine zentrale Beobachtung ist die Arbeitsteilung im Ransomware-as-a-Service (RaaS)-Ökosystem: Operators stellen typischerweise den Encryptor und die Infrastruktur bereit, die Auswahl der EDR-Killer obliegt jedoch den Partnern. Je größer der Pool solcher Affiliates, desto vielfältiger wird der eingesetzte Werkzeugen EDR-Killer. Dies erklärt, warum treiberbasierte Zuweisung zu Gruppen häufig irreführend ist.

Mehr Informationen zum Thema EDR-Killer gibt es im aktuellen englischsprachigen Blogpost auf Welivesecurity.com:

 https://www.welivesecurity.com/en/eset-research/edr-killers-explained-beyond-the-drivers/

Pressekontakt

Christian Lueg
Head of Communication & PR DACH

christian.lueg@eset.com

Michael Klatte
PR-Manager

michael.klatte@eset.com

Philipp Plum
PR-Manager

philipp.plum@eset.com

Folgen Sie ESET:

https://www.ESET.de/
http://www.welivesecurity.de/
https://twitter.com/ESET_de
https://www.facebook.com/ESET.DACH

Über ESET

Der europäische IT-Sicherheitshersteller ESET mit Hauptsitz in Bratislava (Slowakei) bietet hochmoderne digitale Security-Lösungen, um Angriffe zu verhindern, bevor sie passieren. Ob Endpoint-, Cloud- oder mobiler Schutz – durch die Kombination aus Künstlicher Intelligenz und menschlicher Expertise sichert ESET Unternehmen, kritische Infrastrukturen und Privatpersonen effektiv ab.  Die Technologien „Made in EU“ sorgen für zuverlässige Erkennung und Reaktion, extrem sichere Verschlüsselung und Multi-Faktor-Authentifizierung. ESET verfügt über weltweite Forschungs- und Entwicklungszentren und ein starkes internationales Partnernetzwerk in über 200 Ländern und Regionen.