Der europäische IT-Sicherheitshersteller ESET veröffentlicht eine umfassende Analyse des EDR-Killer-Ökosystems und zeigt darin, wie Angreifer verwundbare Treiber missbrauchen. Der Bericht präsentiert telemetriegestützte Erkenntnisse, die weit über den üblichen treiberzentrierten Ansatz hinausgehen: Er dokumentiert, wie Affiliates – nicht Operators – die Werkzeugvielfalt bestimmen, und wie Codebases regelmäßig Treiber wiederverwenden und austauschen.
Grundlage der Untersuchung sind ESET Telemetrie und Incident-Investigations sowie die Analyse und das Tracking von fast 90 aktiv in freier Wildbahn eingesetzten EDR-Killern. Darüber hinaus bewertet ESET, dass zumindest einige der jüngst beobachteten EDR-Killer Merkmale aufweisen, die stark auf eine KI-gestützte Entwicklung hindeuten.
EDR-Killer als fester Bestandteil der Ransomware-Angriffskette
In den vergangenen Jahren haben sich EDR-Killer zu einem der am häufigsten eingesetzten Werkzeuge bei modernen Ransomware-Angriffen entwickelt: Ein Angreifer erlangt hohe Privilegien, setzt ein solches Tool ein, um den Schutz zu deaktivieren, und startet erst dann den Encryptor. Neben der allgegenwärtigen Bring Your Own Vulnerable Driver (BYOVD)-Technik beobachtet ESET auch den regelmäßigen Missbrauch legitimer Anti-Rootkit-Dienstprogramme sowie treiberlose Ansätze, um EDR-Software (Endpoint Detection and Response) zu blockieren oder zu suspendieren.