Útočníci šíriaci ransomvér čoraz viac siahajú po nástrojoch nazývaných EDR killers na deaktiváciu bezpečnostných riešení EDR. Firmy by mali v súlade s týmto vývojom posilňovať svoju kybernetickú odolnosť.
Výskumníci spoločnosti ESET pri sledovaní globálnych trendov v oblasti ransomvéru zaznamenali rastúci počet rôznych typov nástrojov EDR killers, ktoré majú za cieľ narušiť činnosť bezpečnostných riešení. Tieto nástroje útočníkom umožňujú na napadnutom systéme bez prekážok spustiť šifrovanie ransomvérom. Firmy tak čelia ďalšej hrozbe v kontexte útokov motivovaných finančným ziskom.
Výskumníci spoločnosti ESET zároveň vykonali hlbšiu analýzu celého ekosystému ransomvéru, pričom sa zamerali na novovzniknutú a dominantnú skupinu RansomHub ponúkajúcu ransomvér ako službu spolu so štruktúrou jej partnerskej siete. Skúmaním nástrojov v ponuke skupiny RansomHub dokázali výskumníci odhaliť spojenie medzi rastúcou rôznorodosťou nástrojov EDR killers a aktivitami tejto APT skupiny. Pochopenie týchto súvislostí môže pomôcť pri detekcii hrozieb a pri navrhovaní účinnej obrany.
Názov „EDR killer“ znie už na prvé počutie hrozivo, no tieto nástroje je možné zastaviť — kľúčom sú správne preventívne opatrenia a spoľahlivé kybernetické riešenie od skúseného bezpečnostného dodávateľa.
Prienik do jadra systému
Podľa správy Picus Red Report 2024 zaznamenal malvér vyvinutý na vyhľadávanie a znefunkčnenie firemných bezpečnostných riešení dramatický nárast o 333 %.
Jednoduchšie verzie nástrojov EDR killers fungujú ako skripty, ktoré sa priamo snažia ukončiť konkrétne procesy bezpečnostného softvéru. Tie sofistikovanejšie používajú techniku BYOVD (Bring Your Own Vulnerable Driver), pri ktorej sa legitímne, no častokrát staršie ovládače obsahujúce zraniteľnosti zneužívajú na získanie prístupu do jadra operačného systému cieľového zariadenia.
Typický EDR killer využíva komponent bežiaci v používateľskom režime, ktorý slúži na riadenie celého procesu. Ten nainštaluje zraniteľný ovládač, ktorý je často súčasťou samotného škodlivého kódu, a následne pomocou neho postupne ukončuje procesy z preddefinovaného zoznamu. Zneužíva pritom prístup ovládača do jadra systému, čím obchádza bežné bezpečnostné obmedzenia.
Aj niektoré legitímne nástroje môžu byť zneužité ako EDR killers na šírenie ransomvéru. Napríklad nástroje na odstraňovanie rootkitov si zo svojej podstaty vyžadujú prístup do jadra operačného systému, keďže potrebujú detailne skúmať jeho vnútorné procesy. Takáto silná funkcionalita sa však dá zneužiť na škodlivé účely.
Ako sa chrániť?
Ubrániť sa proti nástrojom EDR killers nie je jednoduché. Vyžaduje si to preventívny prístup ku kybernetickej bezpečnosti a viacvrstvovú ochranu schopnú detegovať malvér v rôznych fázach útoku. Prinášame zopár praktických odporúčaní:
- Kvalitné riešenie EDR – vzhľadom na to, aké sofistikované sú nástroje EDR killers v rukách útočníkov, riešenia kybernetickej bezpečnosti nasadené na koncových zariadeniach by mali byť naozaj špičkovej kvality. Ochrana by mala byť schopná detegovať malvér zneužívajúci zraniteľný ovládač ešte pred spustením kódu. Nie vždy je to však možné, ak malvér využíva silné maskovanie či iné techniky na obchádzanie detekcie.
- Ochrana proti neoprávnenej manipulácii – zabraňuje neoprávneným používateľom vypnúť či upraviť komponenty alebo funkcie bezpečnostného riešenia.
- Blokovanie zraniteľných ovládačov – to možno dosiahnuť prostredníctvom prísnych politík pre potenciálne nebezpečné aplikácie (PUSA) a detekcie na úrovni súborov. Aby ste minimalizovali riziko narušenia prevádzky systému, odporúča sa zavádzať opatrenia postupne – najskôr začať v režime detekcie bez liečenia, následne podľa potreby pridať vylúčenia a až potom prejsť do režimu detekcie s liečením.
- Správa zraniteľností a záplat – sofistikovaní útočníci môžu namiesto techniky BYOVD zneužiť zraniteľný ovládač, ktorý je už v systéme prítomný. Ďalšou účinnou metódou obrany je preto zavedenie funkcionality na správu záplat.
- Sprísnenie kontroly aplikácií – zlepšite svoju ochranu prostredníctvom kontroly aplikácií, napríklad pomocou Windows Defender Application Control (WDAC), kde môžete vytvoriť politiku, ktorá povolí načítavanie len vybraných ovládačov. Iné platformy využívajú technológie ako systém HIPS (Host-based Intrusion Prevention System) od spoločnosti ESET, ktorý na blokovanie aplikácií používa pravidlá.
- Obmedzenie prístupu k nastaveniam bezpečnostného riešenia – použitie silného hesla na uzamknutie nastavení bezpečnostného riešenia na koncovom zariadení pridáva dodatočnú úroveň ochrany.
- Dôkladná znalosť prostredia – tieto nástroje si vyžadujú značnú pozornosť a znalosť chránených systémov, aby nedošlo k zásahom do legitímneho softvéru a narušeniu firemnej prevádzky.
Nezabudnite, že zašifrovanie súborov a následné vydieranie sú zvyčajne poslednými fázami útoku. To znamená, že útočníkovi sa už skôr podarilo preniknúť do siete a získať oprávnenia správcu, čo mu umožnilo prejsť k fáze deaktivácie riešenia EDR a nasadeniu ransomvéru. Úlohou obranných mechanizmov je odhaliť útok v počiatočných štádiách a zabrániť tomu, aby sa dostal do ďalších fáz. Dokazuje to, aká dôležitá je prevencia a tiež rýchla reakcia na minimalizáciu škôd.
Profesionálne tipy: detekčné pravidlá v ESET Inspect relevantné pre nástroje EDR killers
Nasledujúce detekčné pravidlá dostupné v systéme ESET Inspect vám môžu pomôcť odhaliť a odvrátiť útoky využívajúce nástroje EDR killers:
- Načítaný ovládač z nezvyčajného umiestnenia [D1303] – niektoré nástroje EDR killers načítavajú ovládače z neobvyklého umiestnenia. Toto detekčné pravidlo na to správcov upozorní.
- Možné znefunkčnenie EDR – zraniteľný ovládač [Q1301] – deteguje načítanie zraniteľných ovládačov využívaných v rámci projektu RealblindingEDR.
- Maskovanie zraniteľného ovládača [Q1302] a načítanie zraniteľného ovládača Zemana [Q1303] – detegujú uloženie alebo načítanie určitých zraniteľných verzií ovládačov, ktoré boli zneužívané pri ransomvérových útokoch. Majú vysokú úroveň závažnosti a automaticky vytvárajú bezpečnostný incident.
- Načítaný známy zraniteľný ovládač [D1302] – zobrazí sa upozornenie, ak je načítaný niektorý zo známych legitímnych, no zraniteľných ovládačov.
Obrázok 1. ESET Inspect upozorňuje na načítanie zraniteľného ovládača
Zahltenie množstvom dát? Vsaďte na jednoduchosť!
Preventívny prístup by nemal zahŕňať len používanie špičkových bezpečnostných produktov, ale aj klásť dôraz na základné opatrenia kybernetickej bezpečnosti a zníženie záťaže IT tímov. Zahltenie bezpečnostných pracovníkov množstvom upozornení je skutočný problém, ktorý môže viesť k narušeniu zabezpečenia, ak sa mu nevenuje náležitá pozornosť. Boj s nástrojmi EDR killers si vyžaduje pozornosť a sústredenie IT špecialistov, preto je dôležité nasadiť technológie, ktoré im dokážu prácu čo najviac zjednodušiť.
Práve s cieľom uľahčiť IT tímom prácu ponúka platforma ESET PROTECT široké spektrum funkcií v jednom prehľadnom rozhraní, ktoré poskytuje úplný prehľad o chránených systémoch. Všetky riešenia a moduly sú navrhnuté tak, aby minimalizovali množstvo zahlcujúcich informácií, počet potrebných kliknutí a prístupových portálov, čo uľahčuje celú prevádzku.
ESET Inspect napríklad umožňuje rýchle a ľahko prístupné reakcie jedným kliknutím, ako je vypnutie koncového zariadenia, jeho izolácia od siete alebo zastavenie bežiaceho procesu. Ponúka aj proaktívne hľadanie hrozieb pomocou výkonného vyhľadávania podľa indikátorov IoC. Vďaka intuitívnym možnostiam filtrovania ho môžu správcovia ľahko ovládať. Služba ESET Vulnerability & Patch Management na správu zraniteľností a záplat tiež pomáha znížiť zaťaženie IT tímov vďaka prispôsobiteľným politikám nasadzovania záplat, priorizácii podľa závažnosti, možnostiam filtrovania a centralizovanej správe.
Príprava a prevencia pred EDR killers
Pri ochrane pred nástrojmi EDR killers je kľúčové zabrániť útočníkom v získaní oprávnení správcu a trvalej prítomnosti v systéme. A práve v týchto ohľadoch účinne funguje preventívny prístup a viacvrstvové zabezpečenie od spoločnosti ESET.
Nástroje EDR killers predstavujú vážnu hrozbu, no treba povedať, že zneužívanie zraniteľných ovládačov je dobre známym vektorom útoku. Nedá sa preto porovnať so zero‑day útokom, pri ktorom by bola firma úplne bezbranná. Skutočnou výzvou je to, že zraniteľné ovládače si vyžadujú veľkú pozornosť zo strany správcov a tiež nasadenie sofistikovaných bezpečnostných riešení, ktoré si s nimi dokážu efektívne poradiť. Takéto útoky poukazujú na dôležitosť prevencie a spoľahlivého zabezpečenia. Nestačí však, aby bolo bezpečnostné riešenie výkonné, musí byť aj jednoduché na používanie. Ochrana systémov by mala byť čo najmenej komplikovaná a zároveň čo najúčinnejšia.
