Τα τελευταία χρόνια, οι δολοφόνοι Endpoint Detection and Response (EDR) έχουν εξελιχθεί σε ένα από τα πιο αποτελεσματικά όπλα στις επιθέσεις ransomware. Πριν από την εκτέλεση κακόβουλου λογισμικού που κρυπτογραφεί αρχεία, οι εγκληματίες του κυβερνοχώρου αναπτύσσουν στρατηγικές για να παρακάμψουν τα συστήματα ασφάλειας, λαμβάνοντας υπόψη τις νέες τάσεις και μεθόδους που αναδύονται στο παράνομο οικοσύστημα.
Σύμφωνα με μια πρόσφατη αναφορά της ESET Research, το τοπίο των κυβερνοαπειλών έχει εξελιχθεί ραγδαία, ξεπερνώντας τις γνωστές τακτικές που σχετίζονται με το Bring Your Own Vulnerable Driver (BYOVD). Οι επιτιθέμενοι δεν περιορίζονται πλέον μόνο στο κακόβουλο λογισμικό που εκμεταλλεύεται ευάλωτους οδηγούς, αλλά χρησιμοποιούν ένα ευρύ φάσμα μεθόδων για να παρακάμψουν τις άμυνες ασφαλείας.
Γιατί οι επιτιθέμενοι προτιμούν τους EDR Killers
Αντί να ξαναγράφουν συνεχώς τους κρυπτογραφητές ransomware για να αποφύγουν την ανίχνευση, οι φορείς απειλής έστρεψαν την προσοχή τους στην απενεργοποίηση του λογισμικού ασφαλείας πριν από την επίθεση. Οι EDR killers παρέχουν μια αξιόπιστη, χαμηλού κόστους λύση, δίνοντας στους εγκληματίες ένα ασφαλές παράθυρο για τη διεξαγωγή των επιθέσεών τους, καθώς τα προγράμματα κρυπτογράφησης γενικά προκαλούν μεγάλο θόρυβο κατά την εκτέλεση τους.
Όπως αναφέρει η ESET, οι θυγατρικές συμμοριών ransomware συχνά επιλέγουν ποιο EDR killer θα χρησιμοποιήσουν σε μια επίθεση, προσθέτοντας μια ποικιλία εργαλείων που επιλέγονται και προσαρμόζονται βάσει των ιδιαίτερων αναγκών κάθε επιχείρησης.
Η κατάσταση αυτή οδηγεί στην παραγωγή πολλών εργαλείων στην αγορά, καθώς διαφορετικές ομάδες προσαρμόζουν και συνδυάζουν τα διαθέσιμα EDR killers, προκειμένου να ενισχύσουν την επιτυχία των επιθέσεών τους. Παρά την δημοτικότητα του BYOVD, η τεχνολογία πίσω από τους EDR killers παραμένει σε συνεχή εξέλιξη.
Σύμφωνα με την ESET, σχεδόν 90 EDR killers είναι ενεργά στην αγορά, με το 54% να βασίζεται στη μέθοδο BYOVD για την εκμετάλλευση 35 διαφορετικών ευάλωτων οδηγών. Αυτοί οι εισβολείς κυρίως χρησιμοποιούν απλές γραμμές εντολών ή επανεκκινήσεις σε ασφαλή λειτουργία για να παρακάμψουν την άμυνα, ενώ οι πιο προηγμένες θυγατρικές αξιοποιούν νόμιμα εργαλεία anti-rootkit.
Αυτά τα εργαλεία, αρχικά σχεδιασμένα για την αφαίρεση κακόβουλου λογισμικού, έχουν γίνει ιδανικά για την εξουδετέρωση ενεργών διαδικασιών ασφάλειας. Η τάση προς τη χρήση EDR killers χωρίς προγράμματα οδήγησης, όπως το EDRSilencer και το EDR-Freeze, επιτρέπει στους εγκληματίες να παρακάμψουν την ασφάλεια χωρίς να αλληλεπιδρούν απευθείας με τον πυρήνα του συστήματος.
Αυτές οι μέθοδοι είναι πιο δύσκολες να εντοπιστούν, καθώς η αναγνώριση βασίζεται σε παραδοσιακούς τρόπους που πλέον δεν ισχύουν. Ως αποτέλεσμα, οι υπερασπιστές δικτύου βρίσκονται μπροστά σε μια σοβαρή πρόκληση.
Οι ερευνητές κατηγοριοποιούν τους προγραμματιστές των EDR killers σε τρεις ομάδες:
- Κλειστές Ομάδες: Τέτοιες ομάδες δημιουργούν τους δικούς τους ιδιόκτητους EDR killers.
- Τροποποιητές Κώδικα: Πολλοί επιτιθέμενοι τροποποιούν τον δημόσια διαθέσιμο κώδικα απόδειξης έννοιας (PoC).
- Εμπορικά Εργαλεία: Η αναπτυσσόμενη αγορά προσφέρει EDR killers ως υπηρεσία, πωλώντας εμπορικά εργαλεία σε θυγατρικές μεγάλων συμμοριών ransomware.
Ως αποτέλεσμα, η πρόληψη και ανάλυση της κυβερνοασφάλειας απαιτούν πλέον μια πιο ευέλικτη προσέγγιση. Οι οργανισμοί πρέπει να εστιάσουν στις συμπεριφορές που ενδέχεται να υποδηλώνουν παραβίαση της ασφάλειας, αντί απλά στην ανίχνευση συγκεκριμένων ευάλωτων οδηγών.
Καθώς οι EDR killers γίνονται ολοένα και πιο εμπορευματοποιημένοι, οι οργανισμοί πρέπει να προσαρμοστούν σε αυτές τις νέες απειλές και να ενισχύσουν τις άμυνές τους, σταματώντας την επέλαση του ransomware από τις αρχές της επίθεση.
