Wprowadzenie do problemu / definicja
EDR killers to wyspecjalizowane narzędzia wykorzystywane przez cyberprzestępców do wyłączania, zakłócania lub obchodzenia systemów ochrony endpointów jeszcze przed uruchomieniem adekwatnego ładunku ransomware. Jedną z najczęściej obserwowanych technik w tym obszarze jest BYOVD, czyli Bring Your Own Vulnerable Driver. Metoda ta polega na dostarczeniu do systemu legalnie podpisanego, ale podatnego sterownika, a następnie wykorzystaniu jego słabości do uzyskania uprawnień jądra i neutralizacji mechanizmów bezpieczeństwa.
To podejście jest szczególnie groźne, ponieważ bazuje na zaufaniu systemu operacyjnego do podpisanych sterowników. W praktyce oznacza to, iż atakujący nie musi od razu wdrażać własnego złośliwego komponentu jądra. Zamiast tego nadużywa legalnego artefaktu, który z perspektywy systemu może początkowo wyglądać na wiarygodny.
W skrócie
Najnowsze analizy pokazują, iż EDR killers są dziś silnie powiązane z operacjami ransomware i stanowią istotny element przygotowania środowiska do szyfrowania danych. Wśród obserwowanych narzędzi znaczną część stanowią warianty wykorzystujące technikę BYOVD, które nadużywają podpisanych, ale podatnych sterowników w celu uzyskania dostępu do funkcji jądra systemu.
- atakujący wykorzystują legalnie podpisane sterowniki z известnymi lukami,
- celem jest wyłączenie lub sparaliżowanie agentów EDR i innych mechanizmów ochronnych,
- narzędzia te są popularne, ponieważ są przewidywalne, skuteczne i relatywnie tanie we wdrożeniu,
- poza BYOVD rośnie znaczenie wariantów skryptowych, nadużyć narzędzi anty-rootkitowych oraz metod „driverless”.
Dla obrońców oznacza to, iż analiza zagrożenia nie może ograniczać się do wykrywania samego szyfratora. Coraz częściej najważniejszy staje się wcześniejszy etap operacji, czyli próba oślepienia lub unieszkodliwienia ochrony endpointu.
Kontekst / historia
Współczesne kampanie ransomware są coraz bardziej modułowe. Zamiast pojedynczego pliku realizującego wszystkie funkcje, operatorzy i afilianci korzystają z całego zestawu narzędzi odpowiedzialnych za różne etapy ataku: uzyskanie dostępu, utrzymanie obecności, ruch lateralny, eksfiltrację danych, a następnie wyłączenie zabezpieczeń i uruchomienie szyfrowania.
W takim modelu EDR killer staje się odrębnym, wyspecjalizowanym komponentem łańcucha ataku. To szczególnie atrakcyjne dla ekosystemu RaaS, ponieważ rozwijanie coraz to nowych szyfratorów, które unikną detekcji, jest kosztowne i ma ograniczoną skuteczność. Znacznie łatwiejsze okazuje się wcześniejsze pozbawienie ofiary widoczności i możliwości reakcji poprzez dezaktywację ochrony na stacjach roboczych i serwerach.
Taki trend tłumaczy, dlaczego narzędzia do wyłączania EDR utrzymują wysoką popularność zarówno wśród zamkniętych grup przestępczych, jak i afiliantów korzystających z gotowych usług, publicznie dostępnych projektów oraz zmodyfikowanych proof-of-conceptów.
Analiza techniczna
Technika BYOVD opiera się na załadowaniu do systemu sterownika działającego w trybie jądra, który jest legalnie podpisany, ale zawiera podatność umożliwiającą wykonanie niebezpiecznych operacji. Po jego uruchomieniu atakujący może uzyskać możliwość wykonywania działań na poziomie Ring 0, a więc z najwyższymi uprawnieniami w systemie.
Na tym poziomie możliwe staje się nie tylko kończenie procesów ochronnych, ale także wyłączanie usług bezpieczeństwa, manipulowanie mechanizmami wykorzystywanymi przez rozwiązania EDR, ingerowanie w pamięć procesów oraz osłabianie innych warstw ochronnych systemu. To właśnie dostęp do jądra daje przewagę, której nie zapewniają standardowe techniki działające wyłącznie w przestrzeni użytkownika.
- kończenie chronionych procesów bezpieczeństwa,
- zatrzymywanie usług ochronnych,
- ingerencja w pamięć procesów,
- manipulacja callbackami jądra,
- obchodzenie mechanizmów monitorujących aktywność systemową.
Jednocześnie sam fakt użycia konkretnego podatnego sterownika nie powinien być traktowany jako wystarczająca podstawa do atrybucji. Ten sam sterownik może zostać wykorzystany przez wiele niepowiązanych rodzin narzędzi, a pojedynczy zestaw malware może z czasem migrować pomiędzy różnymi sterownikami. Z perspektywy analitycznej ważniejsze staje się więc powiązanie zachowań, sekwencji działań i szerszego kontekstu incydentu.
Poza klasycznym BYOVD badacze wskazują również na inne klasy EDR killerów. Najprostsze warianty używają natywnych poleceń administracyjnych do kończenia procesów, zatrzymywania usług czy usuwania wpisów serwisowych. Inna grupa nadużywa legalnych narzędzi anty-rootkitowych, które z definicji dysponują wysokimi uprawnieniami. Coraz większą uwagę zwracają także rozwiązania „driverless”, które nie muszą bezpośrednio zabijać procesów, ale zakłócają komunikację agentów z infrastrukturą bezpieczeństwa lub doprowadzają je do stanu zawieszenia.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem użycia EDR killera jest utrata widoczności w najbardziej krytycznym momencie incydentu. jeżeli napastnik skutecznie wyłączy ochronę endpointu tuż przed wdrożeniem ransomware, organizacja może nie zauważyć eskalacji uprawnień, przygotowania do szyfrowania, eksfiltracji danych czy prób uszkodzenia systemów kopii zapasowych.
Ryzyko zwiększa kilka czynników. Po pierwsze, wykorzystywane sterowniki są legalnie podpisane, co utrudnia ich jednoznaczne zaklasyfikowanie jako złośliwe. Po drugie, narzędzia do wyłączania EDR są coraz łatwiej dostępne i bywają rozwijane jako gotowy produkt lub usługa. Po trzecie, twórcy tych rozwiązań inwestują w obejścia detekcji, mechanizmy antyanalizy i większą elastyczność operacyjną.
Dodatkowym problemem jest moment użycia takich narzędzi. EDR killer najczęściej pojawia się bardzo późno w przebiegu ataku, bezpośrednio przed etapem destrukcyjnym. To skraca czas reakcji zespołów bezpieczeństwa i oznacza, iż obrona oparta wyłącznie na wykrywaniu pojedynczych próbek lub rodzin malware może być niewystarczająca.
Rekomendacje
Organizacje powinny traktować zagrożenie BYOVD i EDR killerów jako stały element nowoczesnych operacji ransomware. Odpowiedź obronna musi obejmować zarówno kontrolę aktywności w przestrzeni użytkownika, jak i monitorowanie mechanizmów jądra oraz integralności sterowników.
- wdrożenie i egzekwowanie list blokowanych podatnych sterowników,
- monitorowanie prób instalacji nowych sterowników i zmian w usługach systemowych,
- wykrywanie nietypowych operacji na procesach ochronnych oraz usługach bezpieczeństwa,
- ograniczenie uprawnień administracyjnych i segmentacja dostępu uprzywilejowanego,
- włączenie mechanizmów ochrony integralności kodu i sterowników,
- alarmowanie na polecenia administracyjne używane przeciw agentom bezpieczeństwa,
- kontrola użycia legalnych narzędzi anty-rootkitowych w środowisku produkcyjnym,
- korelacja zdarzeń poprzedzających szyfrowanie, takich jak wyłączanie ochrony, restart do trybu awaryjnego czy nietypowe ładowanie sterowników,
- regularne testy detekcji i ćwiczenia purple teaming dla scenariuszy BYOVD.
W praktyce najskuteczniejsza strategia nie polega na czekaniu na moment uruchomienia szyfratora, ale na przerywaniu wcześniejszych etapów operacji. Wykrycie rekonesansu, eskalacji uprawnień, przygotowania środowiska i prób neutralizacji ochrony może znacząco ograniczyć skutki incydentu.
Podsumowanie
EDR killers stały się jednym z najbardziej użytecznych narzędzi wspierających współczesne ataki ransomware. Technika BYOVD dominuje, ponieważ łączy wysoką skuteczność z relatywnie niskim kosztem wdrożenia i wykorzystuje zaufanie systemu do podpisanych sterowników. Jednocześnie krajobraz zagrożeń rozwija się dalej, obejmując także warianty skryptowe, nadużycia narzędzi anty-rootkitowych oraz metody „driverless”.
Dla zespołów bezpieczeństwa najważniejszy wniosek jest jednoznaczny: ochrona przed ransomware nie może ograniczać się do detekcji samego szyfratora. Równie ważne jest blokowanie i monitorowanie mechanizmów, które mają przygotować środowisko do bezkarnego przeprowadzenia finalnej fazy ataku.
Źródła
- The Hacker News — https://thehackernews.com/2026/03/54-edr-killers-use-byovd-to-exploit-34.html
- ESET Research: EDR killers explained: Beyond the drivers — https://www.welivesecurity.com/en/eset-research/edr-killers-explained-beyond-the-drivers/