Ako fungujú nástroje typu EDR killer a ako sa proti nim chrániť

Systémy EDR (Endpoint Detection and Response) sú sofistikované bezpečnostné riešenia, určené na detekciu, monitorovanie a reakciu na kybernetické hrozby na koncových zariadeniach, ako sú počítače, servery či mobilné zariadenia. EDR killer je škodlivý softvér, ktorý má za cieľ tieto systémy zneškodniť, obísť alebo vypnúť, čo umožní kybernetickým útočníkom voľný prístup k infikovanému zariadeniu. Na napadnutom systéme sa potom môže napríklad spustiť šifrovanie ransomvérom.

Ako fungujú EDR Killers

EDR killers využívajú na elimináciu alebo neutralizáciu bezpečnostných systémov rôzne metódy. Prioritne, ešte skôr než sa pokúsia bezpečnostné riešenie eliminovať, využívajú zložité metódy maskovania, aby sa vyhli detekcii systémom EDR. Následne sa snažia ukončiť alebo zablokovať procesy spojené s bezpečnostnými aplikáciami, čím narušia ich činnosť, alebo upraviť systémové nastavenie tak, aby sa bezpečnostné funkcie deaktivovali. Takisto sa usilujú využiť zraniteľnosti v softvéri EDR na jeho kompromitovanie. V niektorých prípadoch útočníci môžu získať administrátorské práva na zariadení a manuálne vypnúť riešenia EDR.

Jednoduchšie verzie nástrojov EDR killer fungujú ako skripty, ktoré sa priamo snažia ukončiť konkrétne procesy bezpečnostného softvéru. Tie sofistikovanejšie používajú techniku BYOVD (Bring Your Own Vulnerable Driver), pri ktorej sa legitímne, no často staršie ovládače obsahujúce zraniteľnosti zneužívajú na získanie prístupu do jadra operačného systému cieľového zariadenia. Typický EDR killer využíva komponent bežiaci v používateľskom režime, ktorý slúži na riadenie celého procesu. Ten nainštaluje zraniteľný ovládač, ktorý je často súčasťou samotného škodlivého kódu, a následne pomocou neho postupne ukončuje procesy z preddefinovaného zoznamu. Zneužíva pri tom prístup ovládača do jadra systému, čím obchádza bežné bezpečnostné obmedzenia.

Ako sa chrániť

Názov EDR killer znie už na prvé počutie hrozivo, no tieto nástroje možno zastaviť – kľúčom sú správne preventívne opatrenia a spoľahlivé kybernetické riešenie od skúseného bezpečnostného dodávateľa. Na efektívnu ochranu pred EDR killers je potrebné kombinovať technické opatrenia, správnu konfiguráciu bezpečnostných systémov a veľký dôraz klásť na vzdelávanie používateľov. Ochrana by mala byť schopná detegovať malvér zneužívajúci zraniteľný ovládač ešte pred spustením kódu. Nie vždy je to však možné, ak malvér využíva silné maskovanie či iné techniky na obchádzanie detekcie.

Medzi technické opatrenia patrí viacvrstvová ochrana čiže kombinácia rôznych bezpečnostných riešení, ako sú antivírusy, firewally, IDS/IPS (Intrusion Detection and Prevention Systems) a EDR. Vhodná kombinácia riešení zvyšuje šance na detekciu a zastavenie útoku. Systémy EDR a iné bezpečnostné aplikácie musia byť vždy aktuálne a musia obsahovať najnovšie opravy zraniteľností. Pomôcť môže aj implementácia systémov na analýzu správania aplikácií a procesov. Pre koncové zariadenia treba nastaviť len nevyhnutné administrátorské práva, aby sa neoprávneným používateľom zabránilo vypnúť či upraviť komponenty alebo funkcie bezpečnostného riešenia.

Blokovanie zraniteľných ovládačov možno dosiahnuť prostredníctvom prísnych politík pre potenciálne nebezpečné aplikácie a detekcie na úrovni súborov. Aby ste minimalizovali riziko narušenia prevádzky systému, odporúča sa zavádzať opatrenia postupne – najskôr začať v režime detekcie bez liečenia, následne podľa potreby pridať vylúčenia a až potom prejsť do režimu detekcie s liečením. Sofistikovaní útočníci môžu namiesto techniky BYOVD zneužiť zraniteľný ovládač, ktorý je už v systéme prítomný. Ďalšia účinná metóda obrany je preto zavedenie funkcionality na správu záplat.

Ľudský faktor

Používateľom je potrebné pravidelne vysvetľovať, ako rozpoznať podozrivé aktivity a vyhnúť sa klikaniu na škodlivé odkazy. Zamestnancov treba nielen školiť na používanie silných hesiel, dvojfaktorovej autentifikácie a obmedzovanie prístupu k citlivým dátam, ale dodržiavanie politík sa musí vynucovať a kontrolovať.

Prevencia je jednoduchšia a účinnejšia ako terapia

V kybernetickej bezpečnosti platí, že najlepšia obrana je dôsledná pripravenosť. Zašifrovanie súborov a následné vydieranie sú zvyčajne posledné fázy útoku. To znamená, že útočníkovi sa už skôr podarilo preniknúť do siete a získať oprávnenia správcu, čo mu umožnilo prejsť k fáze deaktivácie riešenia EDR a nasadeniu ransomvéru. Úlohou obranných mechanizmov je odhaliť útok v počiatočných štádiách a zabrániť tomu, aby sa dostal do ďalších fáz. Dokazuje to, aká dôležitá je prevencia a aj rýchla reakcia na minimalizáciu škôd.

Preventívny prístup by nemal zahŕňať len používanie špičkových bezpečnostných produktov, ale aj klásť dôraz na základné opatrenia kybernetickej bezpečnosti a zníženie záťaže IT tímov. Zahltenie bezpečnostných pracovníkov množstvom upozornení je problém, ktorý môže viesť k narušeniu zabezpečenia, ak sa mu nevenuje náležitá pozornosť.

Nástroje od ESETu

Boj s nástrojmi EDR killer si vyžaduje pozornosť a sústredenie IT špecialistov, preto je dôležité nasadiť technológie, ktoré im dokážu prácu čo najviac zjednodušiť. Platforma ESET PROTECT ponúka široké spektrum funkcií v jednom prehľadnom rozhraní, ktoré poskytuje úplný prehľad o chránených systémoch. Všetky riešenia a moduly sú navrhnuté tak, aby minimalizovali množstvo zahlcujúcich informácií, počet potrebných kliknutí a prístupových portálov, čo uľahčuje celú prevádzku.

ESET Inspect umožňuje rýchle a ľahko prístupné reakcie jedným kliknutím, ako je vypnutie koncového zariadenia, jeho izolácia od siete alebo zastavenie bežiaceho procesu. Ponúka aj proaktívne hľadanie hrozieb pomocou výkonného vyhľadávania podľa indikátorov IoC. Vďaka intuitívnym možnostiam filtrovania ho môžu správcovia ľahko ovládať. Služba ESET Vulnerability & Patch Management na správu zraniteľností a záplat tiež pomáha znížiť zaťaženie IT tímov vďaka prispôsobiteľným politikám nasadzovania záplat, priorizácii podľa závažnosti, možnostiam filtrovania a centralizovanej správe.

Detekčné pravidlá dostupné v systéme ESET Inspect vám môžu pomôcť odhaliť a odvrátiť útoky využívajúce nástroje EDR killer:

• Načítaný ovládač z nezvyčajného umiestnenia – niektoré nástroje EDR killer načítavajú ovládače z nezvyčajného umiestnenia. Toto detekčné pravidlo na to správcov upozorní.
• Možné znefunkčnenie EDR – zraniteľný ovládač – deteguje načítanie zraniteľných ovládačov využívaných v rámci projektu ­RealblindingEDR.
• Maskovanie zraniteľného ovládača a načítanie zraniteľného ovládača – detegujú uloženie alebo načítanie určitých zraniteľných verzií ovládačov, ktoré boli zneužívané pri ransomvérových útokoch. Majú vysokú úroveň závažnosti a automaticky vytvárajú bezpečnostný incident.
• Načítaný známy zraniteľný ovládač – zobrazí sa upozornenie, ak je načítaný niektorý zo známych legitímnych, no zraniteľných ovládačov.

EDR killers predstavujú významné riziko pre bezpečnosť koncových bodov, no správnou kombináciou technických opatrení, vzdelávania a testovania možno minimalizovať ich účinnosť. Kľúčom je proaktívny prístup k ochrane, pravidelná aktualizácia systémov, dôkladné monitorovanie a posilnenie bezpečnostných procesov.

Úvodný obr. zdroj: freepik.com