SOC Prime Bias: Критичний

19 May 2026 13:18 UTC

Захист EDR від супротивників

Author Photo
SOC Prime Team linkedin icon Стежити
Захист EDR від супротивників
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

У статті розглядається, як зловмисники використовують техніки Bring Your Own Vulnerable Driver, щоб отримати доступ на рівні ядра та вимкнути або видалити інструменти захисту кінцевих точок, такі як антивіруси та платформи EDR. Вона описує кілька поширених тактик, зокрема зловживання правилами брандмауера, неправомірне використання підписаних, але вразливих драйверів, і використання інструментів віддаленого доступу для підтримки стійкості, водночас зменшуючи видимість безпеки. Реальні випадки показують, як вкрадені VPN облікові дані, зловмисна реклама та легітимні драйвери з відомими вадами можуть використовуватися для завершення процесів захисту. Центральна проблема полягає в зростаючій загрозі атак на рівні ядра, які створюють сліпу зону, де зловмисники можуть діяти зі зниженим виявленням.

Розслідування

Huntress задокументувала інциденти на початку 2026 року, в яких зловмисники використовували вкрадені облікові дані SonicWall VPN для розгортання спеціального бінарного файлу EDR-killer, що зловживало відкликаним драйвером EnCase forensic. У пізнішому випадку, зловмисна реклама привела до встановлення ScreenConnect, після чого вразливий аудіодрайвер Huawei було використано для завершення роботи служби безпеки. В ході цих розслідувань Huntress спостерігала повторне зловживання драйверами, цикли завершення процесів та використання довірених підписаних драйверів для уникнення базового статичного виявлення.

Пом’якшення

Рекомендовані засоби захисту включають виявлення в режимі реального часу зловживання вразливими драйверами, моніторинг несподіваних змін у правилах брандмауера та впровадження суворих контролів навколо підписання та завантаження драйверів. Huntress також ввела виявлення зловживання драйвером TrueSight та автоматичне очищення зловмисних правил брандмауера. Додатковий захист може забезпечити функції захисту від втручання та жорсткіший контроль за виключеннями, щоб ускладнити зловмисникам зупинку чи видалення інструментів EDR.

Реакція

Якщо така діяльність виявлена, негайно ізолюйте уражену систему, скасуйте будь-які несанкціоновані зміни брандмауера, вивантажте або заблокуйте зловмисний драйвер, а також перевстановіть або відновіть пошкоджені агенти EDR або антивіруси. Команди безпеки повинні потім провести судово-медичний аналіз, щоб виявити будь-які додаткові механізми стійкості або викрадені облікові дані та змінити привілейовані облікові дані, такі як облікові дані VPN.

Потік Атаки

Виконання Симуляції

Необхідна умова: Телеметрія та Перевірка Початкових Даних повинні були пройдені.

Оповідь Атаки та Команди

Зловмисник намагається відключити телеметрію EDR організації, вставивши правило брандмауера, яке блокує весь вихідний трафік на відомі хмарні кінцеві точки EDR. Щоб підвищити ймовірність виявлення, назва правила явно містить “EDR”. Кроки:

  1. Перелічити відомі кінцеві точки EDR (жорстко задано для демонстрації).
  2. Створити блокуюче вихідне правило з назвою “Блокування Зв’язку EDR”.
  3. Переконатися, що правило активне і вихідний трафік на домени EDR скидається.
  4. Спостерігати генерацію EventID 2004 з ім’ям зловмисного правила, яке повинно спровокувати правило Sigma.

Скрипт Тесту Регресії

# -------------------------------------------------
# Скрипт Симуляції – Створити Зловмисне Правило Брандмауера
# -------------------------------------------------
# 1. Визначити список кінцевих точок EDR (приклад)
$edrEndpoints = @("edr.contoso.com","logs.edr.contoso.net")

# 2. Створити блокуюче вихідне правило для кожної точки
foreach ($host in $edrEndpoints) {
    $ruleName = "Блокування Зв'язку EDR - $host"
    New-NetFirewallRule `
        -DisplayName $ruleName `
        -Direction Outbound `
        -RemoteAddress $host `
        -Action Block `
        -Profile Any `
        -Enabled True `
        -Protocol Any
    Write-Host "Created rule: $ruleName"
}

# 3. Вивести список новостворених правил для перевірки
Get-NetFirewallRule -DisplayName "*Блокування Зв'язку EDR*"

Команди Очищення

# -------------------------------------------------
# Скрипт Очищення – Видалити Зловмисні Правила Брандмауера
# -------------------------------------------------
Get-NetFirewallRule -DisplayName "*Блокування Зв'язку EDR*" | Remove-NetFirewallRule -Confirm:$false
Write-Host "Усі зловмисні правила блокування EDR видалено."