Ransomwarové gangy se stále více obracejí ke škodlivým nástrojům, které dokáží vypnout nebo obejít detekci a reakci na koncových zařízeních. EDR killery by proto měly být pro firmy dobrým důvodem, proč posílit bezpečnost.
Bezpečnostní experti ze společnosti ESET zaznamenali při sledování celosvětových trendů u ransomwaru nárůst celé řady nástrojů, které jsou určené k vypínání a obcházení ochranných technologií – tzv. EDR killerů. Tyto škodlivé nástroje jsou navržené tak, aby ochromily kyberbezpečnostní technologie. Zjevným cílem je umožnit ransomwaru hladce zašifrovat svou vytipovanou oběť. Pro firmy, které se snaží bránit finančně motivovaným kyberútokům, jsou tak další výzvou.
V tomto kontextu vznikla také nejnovější analýza ekosystému ransomwarového prostředí zaměřená na aktuálně dominantní ransomwarový gang RansomHub, který funguje v modelu ransomware-as-a-service, a strukturu jeho partnerské sítě. Analýzou nástrojů, které RansomHub svým partnerům nabízí, byly nakonec odhaleny i dříve neznámé spojitosti mezi tímto gangem a jeho rivaly.
„Gang RansomHub se objevil přibližně ve stejné době, kdy se orgánům činným v trestním řízení podařilo v mezinárodní operaci Cronos narušit aktivity gangu LockBit. Dynamicky se proměňující ransomwarové prostředí samozřejmě není dobrou zprávou pro firmy a instituce, které se této neustále přítomné hrozbě musí přizpůsobovat, zvlášť pokud spadají do oblasti kritické infrastruktury. Reakci lze vidět i v legislativní oblasti, kde v České republice na boj s touto hrozbou klade důraz například i nový Zákon o kybernetické bezpečnosti,“ říká Jakub Souček z ESETu.
Pochopení propojení mezi ransomwarovými gangy může nabídnout vysvětlení rostoucích detekcí EDR killerů a jak mohou firmy rizika zmírnit. Tyto na první pohled děsivé nástroje totiž zastavit lze. Správná preventivní opatření spolu se spolehlivým kyberbezpečnostním řešením od renomovaného dodavatele by firmy měly ochránit.
Snaha vplížit se do jádra
Jednodušší verze malwaru, který je navržený k vyhledávání a deaktivaci bezpečnostních technologií, mají podobu skriptů, které se přímo pokoušejí ukončit seznam procesů. Sofistikovanější verze jdou dál a využívají techniku známou jako Bring Your Own Vulnerable Driver (BYOVD). Jejím prostřednictvím lze zneužít legitimní, ale zranitelné (obvykle starší) ovladače k přístupu do jádra cílového operačního systému.
Typický EDR killer používá komponentu v uživatelském režimu, která je odpovědná za orchestraci (killer code). Tato komponenta provede instalaci zranitelného ovladače, často vloženého do části jeho kódu. EDR killer následně projde seznam spuštěných procesů a pomocí zneužití zranitelnosti v ovladači násilně ukončí takové, které náleží bezpečnostním řešením.
Partneři v rámci modelu fungování ransomwaru mohou zneužívat i legitimní nástroje, aby fungovaly také jako EDR killery. Jedná se například o nástroje pro detekci rootkitů, které ze své podstaty vyžadují přístup do režimu jádra a potřebují pečlivě zkoumat interní části operačního systému. Jde o mocnou funckionalitu, kterou mohou útočníci bohužel také zneužít.
Jak se připravit na boj s EDR killery
Obrana proti těmto škodlivým nástrojům není snadná a vyžaduje přístup zaměřený na prevenci a vícevrstvou ochranu, která bude schopná detekovat malware v různých fázích útoku. Zde je několik tipů:
Kvalitní EDR je nutností: EDR killer je sofistikovaný útočný nástroj. A stejně tak musí mít špičkovou kvalitu také kybernetické bezpečnostní řešení nasazené na cílovém koncovém zařízení. To znamená, že by mělo detekovat škodlivý kód zneužívající zranitelný ovladač ještě před jeho spuštěním. Kvůli tomu, že útočníci často využívají u škodlivého kódu silnou obfuskaci nebo jiné techniky pro obcházení detekce, to ale nemusí být vždy dostatečně spolehlivé.
Ochrana proti sabotáži: zabrání neoprávněným uživatelům deaktivovat nebo upravovat komponenty nebo schopnosti bezpečnostního řešení.
Blokování zranitelných ovladačů: Toho lze dosáhnout prostřednictvím přísných politik pro detekci potenciálně nechtěných a nebezpečné aplikace (PUA, PUSA) a škodlivých souborů. Aby nedošlo k narušení systému, je vhodné začít v režimu „Detekovat, ale nečistit“ (Detect but don’t clean). Následně lze přidávat podle potřeby výjimky, a nakonec přepnout do režimu „Detekovat a čistit“ (Detect and clean).
Správa zranitelností a záplat: Sofistikovaní útočníci mohou zkusit zneužít zranitelný ovladač již přítomný v kompromitovaném zařízení namísto toho, aby se spoléhali na BYOVD. Proto je správná správa záplat dalším účinným způsobem obrany.
Přísnější kontroly aplikací: Obranu lze zlepšit také prostřednictvím kontroly aplikací. Například prostřednictvím Windows Defender Application Control (WDAC) můžete vytvořit zásady, které umožní načítání pouze vybrané ovladače. Jiné platformy využívají technologie, jako je Host-based Intrusion Prevention System (HIPS) od ESETu, která používá „pravidlo“ k blokování aplikace.
Omezení přístupu k nastavením bezpečnosti koncových zařízení: Používejte silné heslo k uzamčení těchto nastavení, čímž přidáte další vrstvu ochrany.
Mějte přehled o svém prostředí: k obraně před těmito škodlivými nástroji potřebujete dobře znát systémy, které chráníte. Jedině tak zajistíte, aby bezpečnostní nastavení byla správně konfigurovaná a nenarušovala běžný provoz ve vaší síti.
Mějte na paměti, že zašifrování souborů a následné vydírání jsou obvykle posledními fázemi útoku. Jinými slovy – k narušení sítě došlo již dříve a útočník získal administrátorská práva, což mu umožnilo přejít do fází, kdy mohl využít malware k vypnutí EDR a ransomware. Úkolem obránců je odhalit útok včas, aby zcela zabránili postupu do této fáze. Ukazuje to na důležitost prevence a potřebu rychle zmírnit vyvstalá rizika.
Udržte obranu před EDR killery jednoduchou
Přístup zaměřený na prevenci by neměl zahrnovat pouze špičková bezpečnostní řešení, ale také klást důraz na kybernetickou hygienu a snižovat zátěž na zaměstnance v IT. Přehlcení výstrahami je reálným problémem, který může vést k narušením bezpečnosti firmy, pokud jej neřešíte včas a správně. Obrana před EDR killery vyžaduje od IT specialistů soustředění, a proto je vždy dobré mít technologie, které mohou věci co nejvíce zjednodušit.
Služby spravované detekce a reakce
ESET MDR
Mějte na své straně řešení, které vám pomůže naplnit požadavky nového Zákona o kybernetické bezpečnosti. Zvolte si nepřetržitou ochranu spojením AI a podpory našich expertů. Už není potřeba budovat vlastní tým bezpečnostních odborníků.
DOZVĚDĚT SE VÍCEPřístup zaměřený na prevenci a vícevrstvá bezpečnost mají šanci zazářit přesně v okamžiku, kdy potřebujete zabránit kyberzločincům, aby získali administrátorská práva a vytrvale usilovali o využívání škodlivých nástrojů k vypnutí EDR.
EDR killery jsou vážnou hrozbou. To, že útočníci zneužívají zranitelné ovladače jako vektor útoku, je ale dobře známou strategií a firmy tak nezůstávají úplně bezbranné. Výzvou jsou tady především nároky na pozornost administrátorů a potřeba stále lepších a sofistikovanějších kybernetických bezpečnostních řešení, která jim pomohou tuto hrozbu zvládnout.
