Kürzlich legte eine neue Analyse des Phänomens, das als "EDR Killers" bekannt ist, wieder eine Technik auf den Tisch, die schon lange bei Ransomware-Intrusionen ausgenutzt hat: viele dieser Programme, die zur Neutralisation von Sicherheitslösungen entwickelt wurden, nutzen legitime, aber verletzliche Treiber, die mit Kernel-Privilegien gemacht werden sollen. Laut ESET-Forschung verwenden mehr als die Hälfte von hundert solcher Werkzeuge die Taktik, die als BYOVD - bringen Sie Ihren eigenen gefährdeten Fahrer -, mit Dutzenden von Controllern mit bekannten Fehlern, Systemschutz zu überspringen.
Im Bereich der Cybersicherheit ist es zu einer wiederkehrenden Praxis geworden: vor dem Start der Verschlüsselung, die Dateien unzugänglich lassen, böswillige Schauspieler führen eine vorherige Phase, die ausschließlich zum Abbau oder Ausweichen von Endpoint-Verteidigungen gewidmet ist. Dieses "Schock-Tool" wirkt außerhalb der Haupt-Ansomware und macht es einfacher, die Chiffre einfach und stabil zu bleiben, ohne dass anspruchsvolle Evasionsfunktionen in seinen eigenen Code integriert werden müssen. Das Ergebnis ist eine modularere und wiederverwendbare Angriffskette, die für kriminelle Geschäftsmodelle wie das Ransomware- as- a- Service sehr attraktiv ist.
Die Essenz von BYOVD ist relativ einfach und gefährlich: Statt einen unsignierten schädlichen Treiber zu laden - der in modernen Systemen blockiert ist - der Angreifer installiert oder verwendet einen legitimen Fahrer, der von einem Lieferanten unterschrieben wird, der eine ausnutzbare Schwachstelle enthält. Mit diesem Ausfall ist es möglich, Code im Kernel-Modus (Ring 0) auszuführen, die privilegierteste Schicht des Systems, aus dem Sicherheitsprozesse abgeschlossen werden können, Kernel-Callbacks und Manipulationsmechanismen, die das Team schützen sollten. Bitdefender erklärt dieses Muster in seiner Erklärung über BYOVD, wo er detailliert, wie das von Microsoft unterzeichnete vertrauenswürdige Treibermodell missbraucht wird, um Privilegien zu skalieren: Technologie hinter dem BYOVD.
Der ESET-Bericht dokumentiert fast 90 Werkzeuge, um EDRs zu töten, und stellt fest, dass ein erheblicher Teil von ihnen auf diese verletzlichen Controller zurückgreift. In einigen Fällen sind die Werkzeuge spezifisch für "geschlossene" Gruppen von Ransomware, die nicht von Affiliate abhängig sind; in anderen sind sie Gabeln oder Modifikationen von öffentlichen Konzept-Tests, die im Feld verwendet werden. Es gibt auch einen unterirdischen Markt, in dem diese Arten von Diensten gekauft und verkauft werden als Dienstleistungen, die die Zugangsbarriere für Angreifer mit weniger technischen Fähigkeiten reduziert.
Nicht alle EDR töten Familien mit signierten Fahrern. ESET erkannte Varianten, die Skripte und administrative Befehle verwenden, die unter Windows - wie Taskkill oder Net Stop - verwendet werden, um die Festnahme von Sicherheitsdiensten sowie legitime Unterstützungs- und Analyseprogramme zu zwingen, die es ermöglichen, geschützte Prozesse abzuschließen. "No driver"-Projekte haben sogar begonnen zu erscheinen, dass, anstatt einen verletzlichen Controller, blockieren Kommunikation oder setzen Sicherheitslösungen in einem Zustand von "coma" durch andere Techniken. In jedem Fall ist das Ziel gleich: die Maschine so ungeschützt wie möglich kurz vor Ablauf der Chiffre zu verlassen.
Aus einer Verteidigungsperspektive ist die übliche Empfehlung offensichtlich, aber komplex anzuwenden: Es ist notwendig, um zu verhindern, dass bekannte Controller in Unternehmensumgebungen amüsieren. Microsoft hält Richtlinien und Dokumentationen über die Fahrersignatur Modellierung und Einschränkungen auf Windows-Systeme, die helfen zu verstehen, warum die Belastung von legitimen, aber verletzlichen Treibern ist ein so mächtiger Vorschlag für Angreifer - und daher so problematisch für Administratoren: Code-Signaturrichtlinie im Kernel-Modus.
Die Blockierung von Treibern in einer Organisation ist jedoch keine magische Heilung: EDR-Killer erscheinen am Ende der Angriffskette, sobald der Angreifer Daten verschlüsseln will. Wenn eine bestimmte Verteidigung ausfällt, kann der Aggressor mit einem anderen alternativen Werkzeug oder Verfahren testen. Deshalb bestehen Experten darauf, dass ein effektiver Schutz erforderlich ist in der Tiefe: Fahrerlaststeuerung, kontinuierliche Überwachung, Erkennung von abnormen Verhaltensweisen, Netzwerksegmentierung und Reaktionspläne, um schädliche Aktivitäten in frühen Stadien enthalten.
Die ESET-Forschung zeigt auch einen störenden Trend: Die Autoren dieser Tools haben die Raffinesse in den Teilen priorisiert, die mit dem Benutzersystem (User-Mode) interagieren, um Analyse und Detektion zu vermeiden und die endgültige Verschlüsselung einfacher zu lassen. Mit anderen Worten, die Anstrengung ist nicht mehr so viel, um die ansomware von sich selbst unbemerkt zu machen, sondern "das System ohne Verteidigung zu lassen" für die Chiffre, ihre Arbeit mit weniger Hindernissen zu tun. Diese Trennung von Funktionen erhöht die Betriebseffizienz der Bänder und erleichtert die Wiederverwendung von schädlichen Komponenten.
Für Sicherheitsteams und verantwortliche IT bedeutet Umdenken, wie die Schutzmaßnahmen gemessen und priorisiert werden: Es genügt nicht, einer robusten EDR-Lösung zu vertrauen, wenn sie durch eine relativ einfache Explosion aus dem Spiel gesetzt werden kann. Es ist wichtig, schwarze und weiße Listen von Fahrern zu haben, Patches und Updates anzuwenden, Treiberinstallations- und Privilegierungsversuche zu überwachen und Erkennungsmechanismen aufrechtzuerhalten, die nicht ausschließlich von einzelnen Prozessen abhängen. Zusätzliche Ressourcen zur BYOVD-Taktik und zur Minderung sind in technischen Analysen und Branchensignaturen verfügbar, die dazu beitragen, das Verhalten zu verstehen und Verpflichtungsindikatoren zu identifizieren: detaillierte Analyse des ESET und technische Erklärungen über BYOVD wie die von Picus Hier..
Kurz gesagt, EDR-Killer bleiben ein attraktives Werkzeug für Ransomware-Gruppen, weil sie billig, zuverlässig und unabhängig von der Chiffre verwendet werden können. Die Antwort darauf besteht darin, technische Vorbeugung, ständige Sichtbarkeit und eine Antwortstrategie zu kombinieren, die den gesamten Angriffszyklus abdeckt. Nur so kann der Manöverraum derer, die unsere Verteidigung abschalten wollen, kurz vor der Forderung einer Datenrettung reduziert werden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...