Uma nova análise sobre ferramentas conhecidas como EDR killers — programas que desativam soluções de Endpoint Detection and Response — revelou que 54 delas utilizam uma técnica chamada bring your own vulnerable driver (BYOVD), explorando 34 drivers vulneráveis diferentes.
EDR killers são comuns em ataques de ransomware porque permitem que afiliados desativem softwares de segurança antes de ativar o malware que criptografa os arquivos.
Essa estratégia tem como objetivo evitar a detecção dos ataques.
Segundo o pesquisador Jakub Souček, da ESET, “grupos de ransomware, especialmente os que operam no modelo ransomware-as-a-service (RaaS), frequentemente desenvolvem novas versões de seus criptografadores.
Garantir que cada versão consiga passar despercebida demanda tempo.
Além disso, esses criptografadores são, por natureza, muito ruidosos, pois precisam modificar muitos arquivos rapidamente, o que torna a ocultação ainda mais difícil.”
Os EDR killers atuam como componentes externos especializados que interrompem as proteções antes da execução do ransomware propriamente dito, mantendo-o simples, estável e fácil de atualizar.
Embora existam casos em que a função de desativar o EDR e o ransomware estejam combinadas em um único arquivo binário — como ocorre com o ransomware Reynolds — essa não é a regra.
A maioria das ferramentas EDR killers utiliza drivers legítimos, mas vulneráveis, para obter privilégios elevados (kernel-mode) e executar suas ações.
Entre cerca de 90 ferramentas detectadas pela empresa eslovaca de cibersegurança, mais da metade emprega a tática BYOVD por ser altamente confiável.
A Bitdefender explica que “o objetivo do BYOVD é obter privilégios em kernel-mode (Ring 0), nível em que o código tem acesso irrestrito à memória e ao hardware do sistema.
Como não é possível carregar um driver malicioso não assinado, os atacantes ‘trazem’ um driver legítimo, assinado por um fornecedor confiável, que possui uma vulnerabilidade conhecida.”
Com esse acesso no kernel, os agentes maliciosos podem encerrar processos de EDR, desabilitar ferramentas de segurança, interferir em callbacks do kernel e comprometer a proteção dos endpoints.
Ou seja, exploram o modelo de confiança da Microsoft para drivers legítimos, usando essa brecha para driblar as defesas.
Os criadores de EDR killers baseados em BYOVD se dividem em três grupos principais:
- Grupos de ransomware fechados, como DeadLock e Warlock, que operam sem afiliados;
- Atacantes que modificam códigos de prova de conceito existentes, como SmilingKiller e TfSysMon-Killer;
- Cibercriminosos que vendem essas ferramentas em mercados clandestinos como serviço, entre eles DemoKiller (também chamado Бафомет), ABYSSWORKER e CardSpaceKiller.
Além disso, a ESET identificou ferramentas baseadas em scripts que utilizam comandos administrativos nativos do Windows — como taskkill, net stop e sc delete — para interromper processos e serviços de segurança.
Algumas variantes chegam a combinar scripts com o modo de segurança do Windows.
De acordo com a empresa, “como o modo de segurança carrega uma versão mínima do sistema operacional e geralmente não inclui soluções de segurança, o malware tem mais chances de desativar as proteções.
Porém, essa abordagem é ruidosa, já que requer reinicialização — um processo arriscado e pouco confiável em ambientes desconhecidos —, por isso é rara na prática.”
Outra categoria de EDR killers são anti-rootkits legítimos, como GMER, HRSword e PC Hunter, que oferecem interface amigável para encerrar processos protegidos.
Uma quarta classe emergente inclui os EDR killers sem driver, como EDRSilencer e EDR-Freeze, que bloqueiam o tráfego de saída das soluções EDR, fazendo com que os programas entrem em um estado semelhante a um "coma".
De acordo com a ESET, “os atacantes não investem muito em tornar seus criptografadores indetectáveis.
As técnicas avançadas para evitar a detecção migraram para os componentes em modo usuário dos EDR killers, especialmente os comerciais, que já incorporam mecanismos maduros de anti-análise e anti-detecção.”
Para combater ransomware e EDR killers, é fundamental bloquear a carga de drivers frequentemente abusados.
Contudo, como os EDR killers atuam em um estágio final, pouco antes do ataque principal, falhas nesse bloqueio podem levar os invasores a simplesmente trocar de ferramenta.
Isso reforça a necessidade de as organizações implementarem defesas em múltiplas camadas e estratégias proativas de detecção para monitorar, sinalizar, conter e remediar ameaças em todas as etapas do ciclo de ataque.
Por fim, a ESET conclui que “os EDR killers permanecem eficazes por serem baratos, confiáveis e independentes do ransomware — o que agrada tanto aos desenvolvedores, que não precisam focar em camuflar o malware, quanto aos afiliados, que dispõem de uma ferramenta poderosa e fácil de usar para derrubar as defesas antes da criptografia.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...