Die meisten EDR-Killer setzen auf legitime, aber verwundbare Treiber, um erhöhte Rechte zu erlangen. Wie Bitdefender erläutert, besteht das Ziel eines BYOVD-Angriffs darin, Kernel-Mode-Rechte zu erlangen – häufig als Ring 0 bezeichnet. Auf dieser Ebene hat Code uneingeschränkten Zugriff auf Systemspeicher und Hardware. Da ein Angreifer keinen unsignierten, bösartigen Treiber laden kann, bringt er einen von einem renommierten Anbieter signierten Treiber mit – etwa von einem Hardwarehersteller oder aus einer alten Antivirus-Version –, der eine bekannte Schwachstelle aufweist.
Mit diesem Kernel-Zugriff können Angreifer EDR-Prozesse beenden, Sicherheitswerkzeuge deaktivieren, Kernel-Callbacks manipulieren und Endpunktschutz aushebeln. Im Kern wird dabei Microsofts Vertrauensmodell für Treiber missbraucht, da der verwundbare Treiber legitim und signiert ist.
Neben den BYOVD-basierten Varianten identifizierte ESET auch skriptbasierte Werkzeuge, die eingebaute Administrationsbefehle wie taskkill, net stop oder sc delete nutzen, um Prozesse und Dienste von Sicherheitsprodukten zu stören. Einige Varianten kombinieren das Skripting mit dem Windows-Abgesicherten Modus: Da dieser nur einen minimalen Teil des Betriebssystems lädt und Sicherheitslösungen dort meist nicht enthalten sind, steigt die Chance, den Schutz auszuschalten. Solche Aktivitäten gelten ESET zufolge jedoch als sehr auffällig, da sie einen Neustart erfordern, der in unbekannten Umgebungen riskant und unzuverlässig ist – weshalb sie nur selten in freier Wildbahn auftreten.
Eine dritte Kategorie bilden Anti-Rootkits wie GMER, HRSword und PC Hunter – legitime Werkzeuge mit grafischer Oberfläche, mit denen sich geschützte Prozesse oder Dienste beenden lassen. Eine vierte, aufkommende Klasse sind treiberlose EDR-Killer wie EDRSilencer und EDR-Freeze, die den ausgehenden Datenverkehr von EDR-Lösungen blockieren und die Programme in einen komaähnlichen Zustand versetzen.
Laut ESET stecken Angreifer kaum noch Aufwand in die Tarnung ihrer Encryptoren. Stattdessen sind die ausgefeilten Techniken zur Abwehrumgehung in die User-Mode-Komponenten der EDR-Killer gewandert. Am deutlichsten zeigt sich dieser Trend bei kommerziellen EDR-Killern, die häufig ausgereifte Fähigkeiten zur Analyse- und Erkennungsvermeidung mitbringen. Dass EDR-Beendigung und Ransomware-Modul auch in einer einzigen Binärdatei verschmelzen können, zeigt die Ransomware Reynolds.
Als Gegenmaßnahme gilt es, das Laden häufig missbrauchter Treiber zu blockieren. Da EDR-Killer jedoch erst in der letzten Phase kurz vor dem Start des Encryptors ausgeführt werden, kann ein Angreifer bei einem Fehlschlag leicht auf ein anderes Werkzeug ausweichen. ESET rät daher zu mehrschichtigen Verteidigungs- und Erkennungsstrategien, die die Bedrohung in jeder Phase des Angriffs überwachen, melden, eindämmen und beheben. EDR-Killer hielten sich, so das Unternehmen, weil sie günstig, beständig und vom Encryptor entkoppelt seien – ideal sowohl für Encryptor-Entwickler als auch für die Affiliates.
