In einem aktuellen Bericht dokumentierte ESET fast 90 unterschiedliche EDR-Killer, von denen die meisten auf BYOVD setzen; einige neuere Varianten nutzen stattdessen Skripte oder Anti-Rootkit-Technik. Die Werkzeuge sind auf Untergrund-Marktplätzen und über öffentliche Proof-of-Concept-Exploits leicht verfügbar und zu „Plug-and-play"-Komponenten geworden. Jakub Souček, Senior Malware Researcher bei ESET und Autor des Berichts, spricht gegenüber Dark Reading von einem „riesigen Markt". Selbst ein Zeitfenster von nur wenigen Stunden reiche aus, um einen erheblichen Teil eines Netzwerks zu verschlüsseln, so Souček.

Peter Morgan, Vice President of Research bei Halcyon, beschreibt die Lage als ungleichen Rüstungswettlauf: Statt aufwendig Schwachstellen in EDR-Plattformen zu suchen, könnten Angreifer einfach einen fertigen EDR-Killer erwerben. Der Kernel-Treiber-Bereich werde auf absehbare Zeit ihr bevorzugtes Betätigungsfeld bleiben.

Die Zahl der tatsächlich missbrauchten Treiber bleibt überschaubar: ESET fand nur 35 verwundbare Treiber, die in den vielen EDR-Killern zum Einsatz kommen. Das Problem liegt anderswo. Angreifer erzeugten laut Souček mehr als 2.500 Varianten eines Alttreibers namens Truesight.sys. Indem sie wenige Bytes im Binärcode ändern, entstehen neue Hashes, ohne dass die ursprüngliche digitale Signatur ungültig wird. Sicherheitssysteme und Sperrlisten müssen daher nicht ein oder zwei, sondern 2.500 gültig signierte Hashes berücksichtigen. Selbst widerrufene Zertifikate helfen kaum, weil Windows die Treiber wegen einer Lücke in der Driver Signature Enforcement weiterhin lädt.

Sperrlisten stoßen damit an Grenzen. Neben Microsofts eigener Driver Blocklist gibt es umfangreichere Drittanbieter-Listen wie das Open-Source-Projekt LOLDrivers (Living Off the Land Drivers). Michael Haag, Mitentwickler von LOLDrivers und Threat Researcher beim Start-up MagicSword, nennt ein Kernproblem: Viele Organisationen unterschätzen das Risiko verwundbarer Treiber, und es ist schwer zu erkennen, welcher Treiber gut- oder bösartig ist. Zudem fürchten Unternehmen, dass das Blockieren von Treibern ihre Netzwerke zum Absturz bringt.

Empfohlen wird die Windows-Funktion Hypervisor-Protected Code Integrity (HVCI), auch Speicherintegrität genannt, die Microsofts Sperrliste durchsetzt und seit Windows 11 Version 22H2 (2022) standardmäßig aktiv ist. Doch laut Haag laden manche Treiber trotz aktivem HVCI – derzeit umgehen 430 verwundbare Treiber HVCI, rund 21 Prozent aller vom Projekt erfassten Treiber.

Da Sperrlisten rein reaktiv wirken, raten Fachleute, Angreifern den Zugang zum Windows-Kernel von vornherein zu verwehren. Nötig sei eine mehrschichtige Verteidigung, die kompromittierte Zugangsdaten und Privilegienerweiterungen überwacht – beides Voraussetzungen eines erfolgreichen BYOVD-Angriffs. Ohne ausreichende Administratorrechte könnten Angreifer überhaupt keine Treiber laden, betont Souček. Bei schlechter Absicherung dauere ein Angriff womöglich 20 Minuten; halte ein Angreifer einer guten Verteidigung dagegen einen Monat stand, sei das ein gutes Zeichen.

Einige Hersteller haben ihre Produkte gezielt auf BYOVD ausgerichtet: Halcyon führte im vergangenen Jahr Kernel Guard Protection ein, das verdächtige Kernel-Aktivität in Echtzeit überwacht – etwa einen unbekannten Treiber, der außerhalb des Boot-Vorgangs geladen wird.

Microsoft reagiert ebenfalls. In diesem Monat beginnt der Konzern, cross-signierten Kernel-Treibern das Vertrauen zu entziehen. Das 2021 eingestellte Cross-Signing-Root-Programm hatte Treiber-Autoren verpflichtet, private Schlüssel selbst zu verwahren, was laut Peter Waxman, Group Program Manager bei Microsoft, zu Missbrauch und Diebstahl von Zugangsdaten führte; künftig müssen Treiber über Microsofts Windows Hardware Compatibility Program (WHCP) signiert sein. Die neue Richtlinie wird mit dem Patch-Tuesday-Update dieses Monats für Windows 11 24H2, 25H2, 26H1 und Windows Server 2025 ausgerollt.

Der Effekt dürfte erheblich sein: Laut LOLDrivers sind über 81 Prozent der erfassten Treiber-Samples von Drittanbieter-Zertifizierungsstellen cross-signiert. Allerdings startet die Richtlinie in einem „Evaluierungsmodus". Windows überwacht das Laden von Treibern dabei 100 Stunden über drei Boot-Zyklen (bei Windows Server 2025 zwei). Scheitert in dieser Zeit ein einziger nicht konformer Treiber, beginnt die Frist von vorn – was Organisationen laut MagicSword theoretisch „auf unbestimmte Zeit" im Evaluierungsmodus halten könnte.