Seguir 
Resumo
O artigo examina como os atacantes usam técnicas de Bring Your Own Vulnerable Driver para obter acesso ao nível do kernel e desativar ou remover ferramentas de proteção de endpoint, como plataformas de antivírus e EDR. Ele descreve várias táticas comuns, incluindo o abuso de regras de firewall, o uso indevido de drivers assinados, porém vulneráveis, e a dependência de ferramentas de acesso remoto para manter a persistência enquanto enfraquecem a visibilidade da segurança. Casos do mundo real mostram como credenciais VPN roubadas, publicidade maliciosa e drivers legítimos com falhas conhecidas podem ser usados para terminar processos de segurança. A preocupação central é a crescente ameaça de ataques ao nível do kernel que criam um ponto cego no qual os adversários podem operar com detecção reduzida.
Investigação
A Huntress documentou incidentes no início de 2026 nos quais atacantes usaram credenciais de VPN SonicWall roubadas para implantar um binário customizado que desativava o EDR abusando de um driver forense EnCase revogado. Em um caso posterior, um anúncio malicioso levou à instalação do ScreenConnect, após o qual um driver de áudio Huawei vulnerável foi usado para terminar serviços de segurança. Ao longo dessas investigações, a Huntress observou repetido abuso de drivers, loops de encerrar processos e o uso de drivers assinados de confiança para evadir a detecção estática básica.
Mitigação
As defesas recomendadas incluem detectar abusos em tempo real de drivers vulneráveis, monitorar alterações inesperadas de regras de firewall e impor controles rigorosos em torno da assinatura e carregamento de drivers. A Huntress também introduziu detecções para abuso de drivers do TrueSight e limpeza automatizada de regras de firewall maliciosas. Proteção adicional pode vir de recursos de proteção contra adulteração e controle mais rígido sobre exclusões para dificultar que os atacantes parem ou desinstalem ferramentas EDR.
Resposta
Se esta atividade for detectada, isole o sistema afetado imediatamente, reverta quaisquer alterações não autorizadas de firewall, descarregue ou bloqueie o driver malicioso e reinstale ou repare os agentes EDR ou antivírus impactados. As equipes de segurança devem então realizar análises forenses para descobrir quaisquer mecanismos adicionais de persistência ou credenciais roubadas e girar contas privilegiadas, como credenciais VPN.
graph TB classDef action fill:#99ccff action_valid_accounts[“<b>Ação</b> – <b>T1078 Contas válidas</b><br/><b>Descrição</b>: Uso de credenciais comprometidas para acesso autorizado.<br/><b>Detalhes</b>: Credenciais VPN SonicWall comprometidas”] class action_valid_accounts action action_priv_esc[“<b>Ação</b> – <b>T1068 Exploração para escalada de privilégios</b><br/><b>Descrição</b>: Exploração de driver assinado vulnerável para elevar privilégios.<br/><b>Detalhes</b>: BYOVD com driver EnCase vulnerável”] class action_priv_esc action action_impair_defenses[“<b>Ação</b> – <b>T1562 Comprometimento de defesas</b><br/><b>Descrição</b>: Desinstalar ou desativar agentes de segurança e terminar processos relacionados”] class action_impair_defenses action action_disable_firewall[“<b>Ação</b> – <b>T1562.004 Desativar ou modificar firewall do sistema</b><br/><b>Descrição</b>: Criar regras de firewall ocultas para bloquear comunicações EDR”] class action_disable_firewall action action_service_stop[“<b>Ação</b> – <b>T1489 Paragem de serviços</b><br/><b>Descrição</b>: Encerrar repetidamente serviços de segurança”] class action_service_stop action action_valid_accounts –>|leva_a| action_priv_esc action_priv_esc –>|leva_a| action_impair_defenses action_impair_defenses –>|leva_a| action_disable_firewall action_impair_defenses –>|leva_a| action_service_stop
Fluxo de Ataque
Detecções
Um Driver Foi Carregado com Status de Assinatura Suspeito (via sysmon)
Visualizar
Modificação Suspeita de Exclusões do Defender (via cmdline)
Visualizar
Alterações Suspeitas nas Preferências do Windows Defender (via powershell)
Visualizar
Detecção da Tática Bring Your Own Vulnerable Driver (BYOVD) [Windows Image Load]
Visualizar
Detecção de Regras de Firewall do Windows Maliciosas Bloqueando Comunicações EDR [Firewall do Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Teste de Pré-voo de Telemetria e Linha de Base deve ter sido aprovado.
Narrativa do Ataque & Comandos
O adversário visa desativar a telemetria do EDR da organização inserindo uma regra de firewall que bloqueia todo o tráfego de saída para endpoints de nuvem EDR conhecidos. Para aumentar a chance de detecção, o nome da regra menciona explicitamente “EDR”. Os passos são:
- Enumerar endpoints EDR conhecidos (hard-coded para demonstração).
- Criar uma regra de bloqueio de saída nomeada “Bloquear Comunicações EDR”.
- Verificar se a regra está ativa e se o tráfego de saída para os domínios EDR está bloqueado.
- Observar a geração do EventID 2004 com o nome da regra maliciosa, que deve acionar a regra Sigma.
Script de Teste de Regressão
# -------------------------------------------------
# Script de Simulação – Criar Regra Maliciosa de Firewall
# -------------------------------------------------
# 1. Definir lista de endpoints EDR (exemplo)
$edrEndpoints = @("edr.contoso.com","logs.edr.contoso.net")
# 2. Criar uma regra de bloqueio de saída para cada endpoint
foreach ($host in $edrEndpoints) {
$ruleName = "Bloquear Comunicações EDR - $host"
New-NetFirewallRule `
-DisplayName $ruleName `
-Direction Outbound `
-RemoteAddress $host `
-Action Block `
-Profile Any `
-Enabled True `
-Protocol Any
Write-Host "Regra criada: $ruleName"
}
# 3. Listar as regras recém-criadas para verificação
Get-NetFirewallRule -DisplayName "*Bloquear Comunicações EDR*"Comandos de Limpeza
# -------------------------------------------------
# Script de Limpeza – Remover Regras Maliciosas de Firewall
# -------------------------------------------------
Get-NetFirewallRule -DisplayName "*Bloquear Comunicações EDR*" | Remove-NetFirewallRule -Confirm:$false
Write-Host "Todas as regras maliciosas de bloqueio EDR removidas."