Стежити 
Резюме
У статті розглядається, як зловмисники використовують техніки Bring Your Own Vulnerable Driver, щоб отримати доступ на рівні ядра та вимкнути або видалити інструменти захисту кінцевих точок, такі як антивіруси та платформи EDR. Вона описує кілька поширених тактик, зокрема зловживання правилами брандмауера, неправомірне використання підписаних, але вразливих драйверів, і використання інструментів віддаленого доступу для підтримки стійкості, водночас зменшуючи видимість безпеки. Реальні випадки показують, як вкрадені VPN облікові дані, зловмисна реклама та легітимні драйвери з відомими вадами можуть використовуватися для завершення процесів захисту. Центральна проблема полягає в зростаючій загрозі атак на рівні ядра, які створюють сліпу зону, де зловмисники можуть діяти зі зниженим виявленням.
Розслідування
Huntress задокументувала інциденти на початку 2026 року, в яких зловмисники використовували вкрадені облікові дані SonicWall VPN для розгортання спеціального бінарного файлу EDR-killer, що зловживало відкликаним драйвером EnCase forensic. У пізнішому випадку, зловмисна реклама привела до встановлення ScreenConnect, після чого вразливий аудіодрайвер Huawei було використано для завершення роботи служби безпеки. В ході цих розслідувань Huntress спостерігала повторне зловживання драйверами, цикли завершення процесів та використання довірених підписаних драйверів для уникнення базового статичного виявлення.
Пом’якшення
Рекомендовані засоби захисту включають виявлення в режимі реального часу зловживання вразливими драйверами, моніторинг несподіваних змін у правилах брандмауера та впровадження суворих контролів навколо підписання та завантаження драйверів. Huntress також ввела виявлення зловживання драйвером TrueSight та автоматичне очищення зловмисних правил брандмауера. Додатковий захист може забезпечити функції захисту від втручання та жорсткіший контроль за виключеннями, щоб ускладнити зловмисникам зупинку чи видалення інструментів EDR.
Реакція
Якщо така діяльність виявлена, негайно ізолюйте уражену систему, скасуйте будь-які несанкціоновані зміни брандмауера, вивантажте або заблокуйте зловмисний драйвер, а також перевстановіть або відновіть пошкоджені агенти EDR або антивіруси. Команди безпеки повинні потім провести судово-медичний аналіз, щоб виявити будь-які додаткові механізми стійкості або викрадені облікові дані та змінити привілейовані облікові дані, такі як облікові дані VPN.
graph TB classDef action fill:#99ccff action_valid_accounts[“<b>Дія</b> – <b>T1078 Дійсні облікові записи</b><br/><b>Опис</b>: Використання скомпрометованих облікових даних для авторизованого доступу.<br/><b>Деталі</b>: Скомпрометовані SonicWall VPN облікові дані”] class action_valid_accounts action action_priv_esc[“<b>Дія</b> – <b>T1068 Експлуатація для підвищення привілеїв</b><br/><b>Опис</b>: Використання вразливого підписаного драйвера для ескалації привілеїв.<br/><b>Деталі</b>: BYOVD з використанням вразливого драйвера EnCase”] class action_priv_esc action action_impair_defenses[“<b>Дія</b> – <b>T1562 Порушення захисту</b><br/><b>Опис</b>: Видалення або вимкнення агентів безпеки та завершення пов’язаних процесів”] class action_impair_defenses action action_disable_firewall[“<b>Дія</b> – <b>T1562.004 Вимкнення або зміна системного брандмауера</b><br/><b>Опис</b>: Створення прихованих правил брандмауера для блокування зв’язку EDR”] class action_disable_firewall action action_service_stop[“<b>Дія</b> – <b>T1489 Зупинка сервісів</b><br/><b>Опис</b>: Багаторазове завершення сервісів безпеки”] class action_service_stop action action_valid_accounts –>|веде_до| action_priv_esc action_priv_esc –>|веде_до| action_impair_defenses action_impair_defenses –>|веде_до| action_disable_firewall action_impair_defenses –>|веде_до| action_service_stop
Потік Атаки
Детекції
Драйвер Завантажено із Підозрілим Статусом Підпису (через sysmon)
Переглянути
Підозрілі Зміни Виключень Defender (через cmdline)
Переглянути
Підозрілі Зміни Налаштувань Windows Defender (через powershell)
Переглянути
Виявлення Тактики Bring Your Own Vulnerable Driver (BYOVD) [Завантаження Зображення Windows]
Переглянути
Виявлення Зловмисних Правил Брандмауера Windows для Блокування Зв’язку EDR [Брандмауер Windows]
Переглянути
Виконання Симуляції
Необхідна умова: Телеметрія та Перевірка Початкових Даних повинні були пройдені.
Оповідь Атаки та Команди
Зловмисник намагається відключити телеметрію EDR організації, вставивши правило брандмауера, яке блокує весь вихідний трафік на відомі хмарні кінцеві точки EDR. Щоб підвищити ймовірність виявлення, назва правила явно містить “EDR”. Кроки:
- Перелічити відомі кінцеві точки EDR (жорстко задано для демонстрації).
- Створити блокуюче вихідне правило з назвою “Блокування Зв’язку EDR”.
- Переконатися, що правило активне і вихідний трафік на домени EDR скидається.
- Спостерігати генерацію EventID 2004 з ім’ям зловмисного правила, яке повинно спровокувати правило Sigma.
Скрипт Тесту Регресії
# -------------------------------------------------
# Скрипт Симуляції – Створити Зловмисне Правило Брандмауера
# -------------------------------------------------
# 1. Визначити список кінцевих точок EDR (приклад)
$edrEndpoints = @("edr.contoso.com","logs.edr.contoso.net")
# 2. Створити блокуюче вихідне правило для кожної точки
foreach ($host in $edrEndpoints) {
$ruleName = "Блокування Зв'язку EDR - $host"
New-NetFirewallRule `
-DisplayName $ruleName `
-Direction Outbound `
-RemoteAddress $host `
-Action Block `
-Profile Any `
-Enabled True `
-Protocol Any
Write-Host "Created rule: $ruleName"
}
# 3. Вивести список новостворених правил для перевірки
Get-NetFirewallRule -DisplayName "*Блокування Зв'язку EDR*"Команди Очищення
# -------------------------------------------------
# Скрипт Очищення – Видалити Зловмисні Правила Брандмауера
# -------------------------------------------------
Get-NetFirewallRule -DisplayName "*Блокування Зв'язку EDR*" | Remove-NetFirewallRule -Confirm:$false
Write-Host "Усі зловмисні правила блокування EDR видалено."