SOC Prime Bias: Critico

19 May 2026 13:18 UTC
newspaper icon Huntress

Difendere EDR Contro gli Avversari

Author Photo
SOC Prime Team linkedin icon Segui
Difendere EDR Contro gli Avversari
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sintesi

L’articolo esamina come gli aggressori utilizzano le tecniche Bring Your Own Vulnerable Driver per ottenere accesso a livello kernel e disabilitare o rimuovere strumenti di protezione degli endpoint come antivirus e piattaforme EDR. Descrive diverse tattiche comuni, inclusi l’abuso delle regole del firewall, l’uso improprio di driver firmati ma vulnerabili e il ricorso a strumenti di accesso remoto per mantenere la persistenza, mentre si indebolisce la visibilità della sicurezza. Casi reali mostrano come credenziali VPN rubate, pubblicità dannose e driver legittimi con difetti noti possano essere utilizzati per terminare i processi di sicurezza. La preoccupazione centrale è la crescente minaccia degli attacchi a livello kernel che creano un punto cieco in cui gli avversari possono operare con rilevanza ridotta.

Indagine

Huntress ha documentato incidenti all’inizio del 2026 in cui gli aggressori hanno utilizzato credenziali VPN SonicWall rubate per distribuire un binario personalizzato EDR-killer che abusava di un driver forense EnCase revocato. In un caso successivo, una pubblicità dannosa ha portato all’installazione di ScreenConnect, dopo la quale è stato utilizzato un driver audio Huawei vulnerabile per terminare i servizi di sicurezza. Nel corso di queste indagini, Huntress ha osservato ripetuti abusi dei driver, cicli per la terminazione dei processi e l’uso di driver firmati fidati per eludere la rilevazione statica di base.

Mitigazione

Le difese raccomandate includono il rilevamento in tempo reale dell’abuso di driver vulnerabili, il monitoraggio per cambiamenti inattesi delle regole del firewall e l’applicazione di controlli rigorosi sulla firma e il caricamento dei driver. Huntress ha anche introdotto rilevazioni per l’abuso del driver TrueSight e una pulizia automatica delle regole del firewall dannose. Ulteriore protezione può venire da caratteristiche di protezione anti-manomissione e un controllo più stretto sulle esclusioni per rendere più difficile per gli aggressori disattivare o disinstallare gli strumenti EDR.

Risposta

Se si rileva questa attività, isolare immediatamente il sistema interessato, invertire qualsiasi modifica non autorizzata alle regole del firewall, scaricare o bloccare il driver dannoso e reinstallare o riparare gli agenti EDR o antivirus coinvolti. I team di sicurezza dovrebbero quindi effettuare un’analisi forense per scoprire eventuali meccanismi di persistenza aggiunti o credenziali rubate e ruotare gli account privilegiati come le credenziali VPN.

graph TB classDef action fill:#99ccff action_valid_accounts[“<b>Azione</b> – <b>T1078 Account validi</b><br/><b>Descrizione</b>: Uso di credenziali compromesse per ottenere accesso autorizzato.<br/><b>Dettagli</b>: Credenziali VPN SonicWall compromesse”] class action_valid_accounts action action_priv_esc[“<b>Azione</b> – <b>T1068 Escalation dei privilegi</b><br/><b>Descrizione</b>: Sfruttamento di un driver firmato vulnerabile per aumentare i privilegi.<br/><b>Dettagli</b>: BYOVD con driver EnCase vulnerabile”] class action_priv_esc action action_impair_defenses[“<b>Azione</b> – <b>T1562 Compromissione delle difese</b><br/><b>Descrizione</b>: Disinstallazione o disabilitazione di agenti di sicurezza e terminazione processi correlati”] class action_impair_defenses action action_disable_firewall[“<b>Azione</b> – <b>T1562.004 Disabilitare o modificare firewall di sistema</b><br/><b>Descrizione</b>: Creazione di regole firewall nascoste per bloccare comunicazioni EDR”] class action_disable_firewall action action_service_stop[“<b>Azione</b> – <b>T1489 Arresto servizi</b><br/><b>Descrizione</b>: Terminazione ripetuta dei servizi di sicurezza”] class action_service_stop action action_valid_accounts –>|porta_a| action_priv_esc action_priv_esc –>|porta_a| action_impair_defenses action_impair_defenses –>|porta_a| action_disable_firewall action_impair_defenses –>|porta_a| action_service_stop

Flusso di Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere stato completato con successo.

Narrativa dell’Attacco & Comandi

L’avversario mira a disabilitare la telemetria EDR dell’azienda inserendo una regola del firewall che blocca tutto il traffico in uscita verso noti endpoint cloud EDR. Per aumentare la probabilità di rilevamento, il nome della regola menziona esplicitamente “EDR”. I passaggi sono:

  1. Enumera gli endpoint EDR conosciuti (codificato per demo).
  2. Crea una regola di blocco in uscita chiamata “Blocca le Comunicazioni EDR”.
  3. Verifica che la regola sia attiva e che il traffico in uscita verso i domini EDR sia bloccato.
  4. Osserva la generazione di EventID 2004 con il nome della regola maligna, che dovrebbe attivare la regola Sigma.

Script di Test di Regressione

# -------------------------------------------------
# Script di Simulazione – Crea Regola Firewall Maligna
# -------------------------------------------------
# 1. Definisci l'elenco degli endpoint EDR (esempio)
$edrEndpoints = @("edr.contoso.com","logs.edr.contoso.net")

# 2. Crea una regola di blocco in uscita per ogni endpoint
foreach ($host in $edrEndpoints) {
    $ruleName = "Blocca Comunicazioni EDR - $host"
    New-NetFirewallRule `
        -DisplayName $ruleName `
        -Direction Outbound `
        -RemoteAddress $host `
        -Action Block `
        -Profile Any `
        -Enabled True `
        -Protocol Any
    Write-Host "Regola creata: $ruleName"
}

# 3. Elenca le regole appena create per verifica
Get-NetFirewallRule -DisplayName "*Blocca Comunicazioni EDR*"

Comandi di Pulizia

# -------------------------------------------------
# Script di Pulizia – Rimuovi le Regole Maligne del Firewall
# -------------------------------------------------
Get-NetFirewallRule -DisplayName "*Blocca Comunicazioni EDR*" | Remove-NetFirewallRule -Confirm:$false
Write-Host "Tutte le regole bloccanti EDR maligne rimosse."

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis