ЭКСКЛЮЗИВ: 54 УБИЙЦЫ EDR ПРЕВРАЩАЮТ ПОДПИСАННЫЕ ДРАЙВЕРЫ В ОРУЖИЕ
Новый анализ инструментов для нейтрализации систем защиты (EDR killers) выявил шокирующую тактику: 54 таких программы используют технику BYOVD, эксплуатируя 35 уязвимых, но легитимных драйверов с цифровой подписью. Это не просто вредоносное ПО — это изощренный рейд на самое ядро вашей кибербезопасности.
Эти «убийцы» стали стандартным инструментом в арсенале групп вымогателей. Их цель — отключить защиту до развертывания ransomware, делая атаку невидимой. Как отмечают эксперты, создавать необнаруживаемый шифровальщик сложно, а вот отключить EDR заранее — надежная стратегия. Это позволяет сохранять основной эксплойт простым и стабильным.
«Цель атаки BYOVD — получить привилегии ядра (Ring 0), где код имеет неограниченный доступ к памяти и оборудованию, — поясняет один из аналитиков. — Поскольку злоумышленники не могут загрузить неподписанный драйвер, они «приносят» свой — уязвимый, но подписанный авторитетным вендором». Получив доступ, они обрубают процессы защиты, отключают инструменты безопасности и манипулируют системой.
Почему это касается каждого? Потому что атака использует доверенные компоненты самой системы. Ваша защита парализована изнутри легальными средствами. Утечка данных становится вопросом времени, а фишинг — лишь первым шагом для доставки такого «убийцы».
Прогноз мрачен: волна атак с использованием 0-day уязвимостей в драйверах будет нарастать, подрывая основы безопасности. Даже блокчейн-проекты не застрахованы, если уязвимость кроется на уровне ядра операционной системы.
Когда защита сама становится оружием, доверять нельзя никому.
