Die Funktionsweise dieser EDR-Killer offenbart eine raffinierte Angriffsstrategie. Durch die BYOVD-Methode erlangen Angreifer Kernel-Mode-Privilegien – auch als Ring 0 bekannt. Auf dieser Ebene haben Programme unbegrenzten Zugriff auf den Systemspeicher und die Hardware. Da Cyberkriminelle keine unsignierten bösartigen Treiber laden können, nutzen sie stattdessen legitime, von renommierten Herstellern signierte Treiber mit bekannten Schwachstellen. Dies ist eine Missbrauch von Microsofts Vertrauensmodell für Treiber, da das Betriebssystem die signierten Dateien als vertrauenswürdig einstuft.
Mit Kernel-Zugriff können die Angreifer EDR-Prozesse beenden, Sicherheitstools deaktivieren, Kernel-Callbacks manipulieren und die gesamte Endpoint-Protection unterlaufen. ESET-Forscher Jakub Souček erklärte gegenüber The Hacker News, dass dieser Ansatz für Ransomware-Gangs besonders attraktiv ist: Encryptor-Programme sind von Natur aus “sehr laut” und modifizieren in kurzer Zeit eine Vielzahl von Dateien. Dies macht sie schwer undetektierbar. EDR-Killer als externe Komponente lösen dieses Problem elegant: Sie deaktivieren die Verteidigung, während die Ransomware selbst einfach, stabil und leicht zu aktualisieren bleibt.
Die Forschung identifiziert mehrere Kategorien von EDR-Killern. Neben den BYOVD-basierten Varianten gibt es skriptbasierte Tools, die Windows-Befehle wie taskkill, net stop oder sc delete missbrauchen. Eine weitere Kategorie nutzt Windows Safe Mode, wo nur minimale Systemkomponenten geladen werden und Sicherheitslösungen typischerweise nicht starten. Ein neuer und besonders besorgniserregender Trend sind driverlose EDR-Killer wie EDRSilencer und EDR-Freeze, die den ausgehenden Netzwerkverkehr von EDR-Lösungen blockieren und diese in einen “Koma”-ähnlichen Zustand versetzen.
Die Implikationen für deutsche Organisationen sind erheblich. ESET warnt, dass Angreifer nicht viel Mühe in die Verschleierung ihrer Encryptor-Software stecken – stattdessen konzentrieren sich die ausgefeilten Abwehr-Umgehungstechniken auf die Benutzermode-Komponenten der EDR-Killer, insbesondere bei kommerziellen Varianten mit reifen Anti-Analyse- und Anti-Detection-Fähigkeiten.
Experten empfehlen mehrschichtige Verteidigungsstrategien. Das Blockieren häufig missbrauchter Treiber ist notwendig, reicht aber nicht aus. Organisationen müssen alle Phasen des Angriffsablaufs proaktiv überwachen, verdächtige Aktivitäten kennzeichnen, isolieren und beheben. Die EDR-Killer-Taktik ist dauerhaft etabliert, weil sie kostengünstig, zuverlässig und vom eigentlichen Encryptor unabhängig ist – ein perfektes Geschäftsmodell für RaaS-Betreiber und deren Affiliates.