ESET: EDR killer alati su postali predvidiva faza modernih ransomware upada
ESET istraživanje pokazuje da su takozvani EDR killer alati postali standardni deo modernih ransomware intruzija, jer napadačima daju kratak i pouzdan prozor da isključe zaštitu pre pokretanja enkriptora. Umesto da stalno prerađuju ransomware payload da prolazi neprimećeno, napadači sve češće koriste posebne alate koji gase ili ometaju EDR zaštitu. Istraživanje se zasniva na praćenju gotovo 90 EDR killera korišćenih u stvarnim napadima, od čega je 54 zasnovano na BYOVD pristupu i zloupotrebi 35 ranjivih drajvera, uz dodatne script-based, anti-rootkit i driverless varijante. ESET posebno ističe da analiza zasnovana samo na korišćenom drajveru često vodi pogrešnoj atribuciji, jer se isti drajver pojavljuje u nepovezanim alatima, dok isti alat može vremenom preći na drugi drajver. U tekstu se takođe opisuje rast komercijalnih EDR killer ponuda, upotreba packer servisa i znaci da je u razvoju nekih novih alata verovatno pomogao AI.
Za odbranu je važno to što EDR killer više nije sporedni trik, već predvidiv operativni korak u završnici ransomware napada. To menja fokus sa pojedinačne detekcije malvera na širu pripremu za trenutak kada napadač već ima privilegije i pokušava da ukloni zaštitu neposredno pre šifrovanja. Još važnije, tekst upozorava da jednostavna veza između drajvera i napadačke grupe često nije pouzdana i može odvesti timove u pogrešnom pravcu.
- Ne oslanjati se samo na blokiranje poznatih ranjivih drajvera, već razviti višeslojnu detekciju koja hvata pripremu i izvršavanje EDR killer alata pre učitavanja drajvera
- Pratiti pokušaje instalacije drajvera, gašenja zaštitnih procesa, zloupotrebe anti-rootkit alata i neuobičajenih administratorskih komandi
- U detekciji i atribuciji ne donositi zaključke samo na osnovu jednog zloupotrebljenog drajvera, jer isti drajver koriste nepovezani alati i grupe
- Preispitati kontrole nad kernel-mode drajverima, dozvoljenim alatima i EDR komunikacionim kanalima, uključujući driverless tehnike kao što su blokada komunikacije i zamrzavanje procesa
- Pripremiti incident response za trenutak neposredno pre pokretanja enkriptora, kada napadač pokušava da onesposobi zaštitu i kada su sekunde često presudne