Folgen 
Zusammenfassung
Der Artikel untersucht, wie Angreifer Techniken mit eigenen anfälligen Treibern nutzen, um auf Kernel-Ebene Zugriff zu erhalten und Endpunktschutztools wie Antivirus- und EDR-Plattformen zu deaktivieren oder zu entfernen. Es werden mehrere gängige Taktiken beschrieben, darunter das Ausnutzen von Firewallregeln, der Missbrauch von signierten, aber anfälligen Treibern und die Abhängigkeit von Fernzugriffstools, um bei gleichzeitiger Abschwächung der Sicherheitsvisibilität die Persistenz aufrechtzuerhalten. Reale Fälle zeigen, wie gestohlene VPN-Anmeldeinformationen, bösartige Werbung und legitime Treiber mit bekannten Schwachstellen genutzt werden können, um Sicherheitsprozesse zu beenden. Die zentrale Besorgnis ist die zunehmende Bedrohung durch Kernel-Ebene-Angriffe, die einen blinden Fleck schaffen, in dem Angreifer mit reduzierter Erkennung operieren können.
Untersuchung
Huntress dokumentierte Vorfälle Anfang 2026, bei denen Angreifer gestohlene SonicWall-VPN-Anmeldeinformationen nutzten, um eine benutzerdefinierte EDR-Töterbinärdatei bereitzustellen, die einen widerrufenen EnCase-Forensiktreiber missbrauchte. In einem späteren Fall führte eine bösartige Anzeige zur Installation von ScreenConnect, wonach ein anfälliger Huawei-Audiotreiber verwendet wurde, um Sicherheitsdienste zu beenden. Bei diesen Untersuchungen stellte Huntress wiederholten Treibermissbrauch, Prozess-Beendigungsschleifen und die Nutzung vertrauenswürdiger signierter Treiber fest, um grundlegender statischer Erkennung zu entgehen.
Minderung
Empfohlene Verteidigungsmaßnahmen umfassen die Erkennung des Echtzeitmissbrauchs anfälliger Treiber, die Überwachung unerwarteter Änderungen an Firewallregeln und die Durchsetzung strenger Kontrollen bei der Treibersignierung und -ladung. Huntress führte auch Erkennungen für den TrueSight-Treibermissbrauch und automatisierte Bereinigung bösartiger Firewallregeln ein. Zusätzlichen Schutz bieten Funktionen zum Manipulationsschutz und eine strengere Kontrolle über Ausschlüsse, um es Angreifern zu erschweren, EDR-Tools zu stoppen oder zu deinstallieren.
Reaktion
Wenn diese Aktivität festgestellt wird, sollten Sie das betroffene System sofort isolieren, alle unautorisierten Änderungen an der Firewall rückgängig machen, den bösartigen Treiber entladen oder blockieren und die betroffenen EDR- oder Antivirus-Agenten neu installieren oder reparieren. Sicherheitsteams sollten dann eine forensische Analyse durchführen, um zusätzliche Persistenzmechanismen oder gestohlene Anmeldeinformationen aufzudecken und privilegierte Konten wie VPN-Anmeldeinformationen zurückzusetzen.
graph TB classDef action fill:#99ccff action_valid_accounts[„<b>Aktion</b> – <b>T1078 Gültige Konten</b><br/><b>Beschreibung</b>: Nutzung kompromittierter Zugangsdaten für autorisierten Zugriff.<br/><b>Details</b>: Kompromittierte SonicWall VPN-Zugangsdaten“] class action_valid_accounts action action_priv_esc[„<b>Aktion</b> – <b>T1068 Privilegieneskalation durch Ausnutzung</b><br/><b>Beschreibung</b>: Ausnutzung eines verwundbaren signierten Treibers zur Privilegieneskalation.<br/><b>Details</b>: BYOVD mit verwundbarem EnCase-Treiber“] class action_priv_esc action action_impair_defenses[„<b>Aktion</b> – <b>T1562 Beeinträchtigung von Schutzmechanismen</b><br/><b>Beschreibung</b>: Deinstallation oder Deaktivierung von Sicherheitsagenten und Beenden zugehöriger Prozesse“] class action_impair_defenses action action_disable_firewall[„<b>Aktion</b> – <b>T1562.004 Firewall deaktivieren oder ändern</b><br/><b>Beschreibung</b>: Erstellen versteckter Firewall-Regeln zur Blockierung von EDR-Kommunikation“] class action_disable_firewall action action_service_stop[„<b>Aktion</b> – <b>T1489 Dienststopp</b><br/><b>Beschreibung</b>: Wiederholtes Beenden von Sicherheitsdiensten“] class action_service_stop action action_valid_accounts –>|führt_zu| action_priv_esc action_priv_esc –>|führt_zu| action_impair_defenses action_impair_defenses –>|führt_zu| action_disable_firewall action_impair_defenses –>|führt_zu| action_service_stop
Angriffsfluss
Erkennungen
Ein Treiber wurde mit verdächtigem Signaturstatus geladen (via sysmon)
Ansehen
Verdächtige Defender-Ausschlussmodifikation (via cmdline)
Ansehen
Verdächtige Änderungen der Windows Defender-Einstellungen (via powershell)
Ansehen
Erkennung der Taktik „Bring Your Own Vulnerable Driver“ (BYOVD) [Windows-Image-Ladung]
Ansehen
Erkennung bösartiger Windows-Firewall-Regeln, die EDR-Kommunikationen blockieren [Windows Firewall]
Ansehen
Simulation Ausführung
Voraussetzung: Die Telemetrie- und Basisvorbereitungsprüfung muss bestanden sein.
Angriffserzählung & Befehle
Der Gegner zielt darauf ab, die EDR-Telemetrie der Organisation zu deaktivieren, indem er eine Firewallregel einfügt, die sämtlichen ausgehenden Traffic zu bekannten EDR-Cloud-Endpunkten blockiert. Um die Erkennungswahrscheinlichkeit zu erhöhen, erwähnt der Regelname ausdrücklich „EDR“. Die Schritte sind:
- Bekannte EDR-Endpunkte auflisten (hartcodiert für Demo).
- Erstellen Sie eine Blockierungs ausgehende Regel namens „EDR-Kommunikationen blockieren“.
- Stellen Sie sicher, dass die Regel aktiv ist und der ausgehende Traffic zu den EDR-Domänen blockiert wird.
- Beobachten Sie die Erzeugung von EventID 2004 mit dem bösartigen Regelname, der die Sigma-Regel auslösen sollte.
Regressionstest-Skript
# -------------------------------------------------
# Simulations-Skript – Erstellen bösartiger Firewallregeln
# -------------------------------------------------
# 1. Definieren Sie die EDR-Endpunktliste (Beispiel)
$edrEndpoints = @("edr.contoso.com","logs.edr.contoso.net")
# 2. Erstellen Sie eine ausgehende Blockierungsregel für jeden Endpunkt
foreach ($host in $edrEndpoints) {
$ruleName = "EDR-Kommunikationen blockieren - $host"
New-NetFirewallRule `
-DisplayName $ruleName `
-Direction Outbound `
-RemoteAddress $host `
-Action Block `
-Profile Any `
-Enabled True `
-Protocol Any
Write-Host "Erstellte Regel: $ruleName"
}
# 3. Geben Sie die Liste der neu erstellten Regeln zur Überprüfung aus
Get-NetFirewallRule -DisplayName "*EDR-Kommunikationen blockieren*"Aufräumbefehle
# -------------------------------------------------
# Aufräumskript – Entfernen von bösartigen Firewallregeln
# -------------------------------------------------
Get-NetFirewallRule -DisplayName "*EDR-Kommunikationen blockieren*" | Remove-NetFirewallRule -Confirm:$false
Write-Host "Alle bösartigen EDR-Blockierungsregeln entfernt."