Rote Teams verwenden seit Jahren Endpoint Detection and Response (EDR) Killer-Tools. Diese Tools ermöglichen es den Teams, Sicherheitsagenten für Endgeräte zu umgehen und Schwachstellen aufzudecken, die ein Risiko für alle Unternehmen darstellen.
Um dieser globalen Besorgnis über die Umgehung von Cybersicherheits-Tools, einschließlich EDR, zu begegnen, hat ForeNova, ein globaler Anbieter von Managed Detection and Response (MDR), NovaMDR entwickelt. Der NovaMDR-Service überwacht mehrere Bereiche innerhalb des Unternehmensnetzwerks, einschließlich des Endpunkts, um sicherzustellen, dass Hacker die verschiedenen Kontrolltools nicht umgehen und ihre Angriffe über die Netzwerke ihrer Kunden verbreiten.
Was sind EDR-Killer?
EDR-Killer haben den einzigen Zweck, Cybersicherheits-Tools zu beeinträchtigen, um eine weitere Angriffsausbreitung in die Netzwerke ihrer Opfer zu ermöglichen.
Wie andere Cybersicherheits-Tools, Firewalls, VPNs, drahtlose und hostbasierte IPS, weisen auch NDR-Tools bekannte Schwachstellen auf. Die Softwareentwickler geben während der Wartungsfenster Notfall-Patches heraus, um diese Schwachstellen zu beheben.
Hacker, die auf EDR-Killer aus dem Dark Web und anderen Quellen zugreifen, nutzen diese Tools, um Schwachstellen zu finden und auszunutzen. Die Umgehung von EDR mithilfe dieser betrügerischen Tools erfolgt auf der Host-Ebene, der Kernel-Ebene und in Dateiverzeichnissen.
Sobald die EDR-Verteidigungstools deaktiviert sind, haben Hacker Zugriff auf wichtige Teile des Netzwerks ihres Opfers, einschließlich Daten.
Der Schwarzmarkt für EDR-Umgehungstools
Hacker verschaffen sich weiterhin Zugang zu EDR-Killer-Tools oder entwickeln diese selbst. Die Entwicklung eigener EDR-Umgehungstools wird gemeinhin als „Bring Your Vulnerable Driver (BYOVD)“-Angriffsmethode bezeichnet.
Hier sind einige Beispiele für bekannte EDR-Killer, die im Dark Web und auf offenen Marktplätzen zu finden sind:
KernelMode
Das KernelMode-Tool ist ein typisches Red-Team-Tool, mit dem verschiedene EDR-Lösungen getestet werden, darunter Bitdefender, CrowdStrike und Cylance. Das Tool deaktiviert EDR nicht; es weist lediglich verschiedene Schwachstellen innerhalb der Anwendungsdatei und der Speicherbereiche nach.
EDRSilencer
EDRSilencer konzentriert sich darauf, die Fähigkeit des EDR-Tools zu blockieren, wertvolle Telemetriedaten an die zentrale Verwaltungskonsole zu senden. Dieser Angriffsvektor nutzt die Windows Filtering Platform (WFP) aus, um die Kommunikation zwischen dem EDR-Client und der zentralen Verwaltungskonsole zu blockieren, einschließlich aller Warnmeldungen.
EDRKillShifter
Mit diesen raffinierten Tools können Hacker den aktuellen NDR-Dienst stoppen, Malware-Dateien, die einen bösartigen Treiber enthalten, in den Speicher laden und eine neue .sys-Datei im Ordner \AppData\Local\Temp ablegen. Die Malware startet dann den NDR-Dienst mit den bösartigen .exe-Dateien neu.
Terminator
„Terminator nutzt BYOVD, indem er verwundbare Zemana Anti-Malware-Treiber lädt, die es Angreifern ermöglichen, bösartigen Code im Kernel-Modus auszuführen und alle System- oder Benutzerprozesse, einschließlich der Erkennungsmechanismen, zu beenden.“
AuKill
Bedrohungsakteure verwenden das Tool „AuKill“, um die EDR-Abwehr von Unternehmen auszuschalten, bevor sie Ransomware einsetzen. Das Tool infiltriert Systeme mithilfe bösartiger Gerätetreiber und legt ähnliche .sys-Dateien ab, um vorhandene Dateien zu überschreiben. AuKill stoppt mehrere NDR-Prozesse und verhindert so deren Neustart.
MS4Killer
MS4Killer beendet Kernel-Sicherheitsprodukte, indem es den anfälligen Treiber einer globalen Variable ausnutzt. Die globale Hackergruppe Embargo fügte Funktionen hinzu, darunter das endlose Scannen von Prozessen und hart kodierte Namen von Prozessen, die innerhalb der Binärdatei beendet werden sollen.
Grenzen des ausschließlichen Verlassens auf EDR
Die Umgehung von EDR und anderen adaptiven Sicherheitskontrollen kommt vor. Unabhängig vom Hersteller hat jedes Tool Schwachstellen, die ausgenutzt werden können. Es ist fast unmöglich, diese Schwachstellen zu verhindern, da sich Unternehmen zu sehr auf den Softwareanbieter verlassen, um das Problem zu beheben.
Konkret hat CrowdStrike einen nicht getesteten Sicherheits-Patch veröffentlicht, der zu einer weltweiten Abschaltung des Falcon-Agenten führte. Dieser Mangel an Qualitätskontrolle betraf internationale Unternehmen, darunter Microsoft und Delta Airlines.
Wie andere Sicherheitstools verarbeitet auch EDR täglich zahlreiche Sicherheitstelemetriedaten. Diese Verarbeitung führt zu einer Datensatzanalyse, die den Kunden bei der Abwehr von Zero-Day-Angriffen hilft. Keine Sicherheit ist zu 100 % narrensicher. Selbst bei Tools, die auf künstlicher Intelligenz basieren, gibt es falsch positive und falsch negative Ergebnisse.
Hacker führen wirksame Kill Chains gegen NDR aus
Da die NDR-Killer-Tools so einfach zu bedienen sind, setzen Hacker immer wieder mehrere dieser Tools in einer einzigen Kill Chain ein.
Hier ist ein Beispiel:
- Identifizierung von Schwachstellen in Anwendungsdateien: KernelMode
- Stoppen bestehender NDR-Dienste: Terminator und AuKill
- Laden einer neuen Nutzlast in den Speicher: EDRKillShifter
- Blockieren aller Telemetriedaten vom NDR-Agenten an die Konsole: EDRSilencer
Sicherheitsteams könnten auch die Ausführung von Denial-of-Service (DoS)-Angriffen gegen ihre Grenzrouter, eine Zunahme von KI-gestützten E-Mail-Phishing-Angriffen oder Brute-Force-Angriffe gegen Identitätsmanagementsysteme als Teil der Kill Chain sehen.
Die Verhinderung von Kill Chains erfordert mehr als eine adaptive Sicherheitskontrolle. Kontinuierliche Überwachung, vollständige Transparenz und Beobachtbarkeit mit automatisierter Reaktion auf Vorfälle sind für die Vermeidung erfolgreicher Kill-Chain-Angriffe unerlässlich.
Die Bedeutung eines mehrschichtigen Cybersicherheitskonzepts
Angriffe erfolgen an verschiedenen Stellen innerhalb des Netzwerks. Hacker verwenden ständig automatisierte Penetrationstools und -techniken, um die Netzwerke, Hosts und Geräte ihrer Opfer auf Schwachstellen zu scannen, die sich leicht ausnutzen lassen. Die meisten Penetrationstests sind vollständig automatisiert, einschließlich der Möglichkeit, dass die bösartigen Scan-Agenten den Command-and-Control-Servern (C&C-Servern) des Hackers alle Schwachstellen melden, die für zukünftige Angriffe offen sind.
Die Verhinderung der Umgehung einer EDR-Lösung beginnt mit einer Verteidigungsschicht in Kombination mit kontinuierlicher Überwachung, automatischer Reaktion auf Vorfälle und Berichterstattung. Hacker werden jedoch EDR-Killer-Tools verwenden, um diese Sicherheitskontrollen zu umgehen. Andere Red-Team-Tools, die sich in freier Wildbahn befinden, haben auch Virenschutz, E-Mail-Sicherheit und Network Detection and Response (NDR) betroffen.
Unternehmen, die von einer reaktionären, cyber-defensiven Denkweise zu einem proaktiven Ansatz übergehen, erkennen die Notwendigkeit, verschiedene adaptive Kontrollen der nächsten Generation einzusetzen. Diese Tools, darunter Firewalls der nächsten Generation (NGFW), Zero-Trust-Architekturen, SASE-Cloud mit SD-WAN, MFA, EDR, NDR und XDR-Tools, erfordern ein umfassendes Sicherheitsteam, Prozesse und einfach zu befolgende Standardbetriebsverfahren.
Da Ingenieure immer mehr Tools verwenden, wird die Betriebsebene immer schwieriger. Unternehmen, die nur wenig in Humankapital, Talente, Schulungen und verwaltete Dienste investieren, erleben mehr Cybersecurity-Angriffe und Datenverluste.
Investitionen in Talente in Kombination mit verwalteten Diensten helfen Unternehmen, ihre Investitionen in diese proaktiven Sicherheitstools zu maximieren.
Kontinuierliche Überwachung und Bedrohungsjagd
Unternehmen, die den NDR-Kill-Chain-Angriffen einen Schritt voraus sein wollen, investieren viel Geld in Tools der nächsten Generation. Diese Tools, kombiniert mit kontinuierlicher Überwachung, Bedrohungsjagd und Bedrohungsmodellierung, helfen Unternehmen, ihre Cybersicherheit proaktiv zu gestalten.
Der Einsatz von Managed Service Providern mit Fachkenntnissen in den Bereichen Bedrohungssuche und -modellierung ist entscheidend für den Umgang mit NDR-Killern.
Diese Dienste helfen Unternehmen bei der Analyse von NDR-Killer-Angriffen, um sich besser auf künftige Angriffe vorzubereiten. Threat Hunting hilft bei der Überprüfung möglicher zukünftiger NDR-Schwachstellen innerhalb des Unternehmens. Diese vorausschauende Analyse hilft Unternehmen, Patches und andere Abhilfemaßnahmen vor dem nächsten NDR zu beschleunigen.
Die Modellierung von Bedrohungen ist ebenfalls ein wichtiger Service. Diese Funktion konzentriert sich auf die Auswirkungen eines NDR-Killerangriffs. Organisationen sind in ihrem gesamten Unternehmen mit Schwachstellenrisiken konfrontiert. Mit Hilfe der Bedrohungsmodellierung lässt sich feststellen, welcher Bereich der Schwachstelle finanzielle und betriebliche Auswirkungen auf das Unternehmen hat.
Die Ergebnisse der Bedrohungsmodellierung und Bedrohungsjagd helfen bei der Festlegung einer Prioritätsstufe für die kontinuierliche Überwachung. SecOps-Teams, die ein SIEM verwenden, können alles im Netzwerk überwachen, einschließlich der Priorisierung des Anlagenschutzes. Dieser kritische Schritt wirkt der Alarmmüdigkeit entgegen, selbst wenn KI-Tools aktiviert sind.
Anbieter von Managed Services wie ForeNova arbeiten mit ihren Kunden zusammen, um die Prioritäten für den Schutz von Assets und die Anforderungen an die automatische Reaktion auf Vorfälle festzulegen.
Die Rolle von MDR beim Aufspüren von EDR-Killern
MDR-Anbieter wie ForeNova sind entscheidend für den Schutz der Kunden vor NDR-Killerangriffen. Die Überwachung von Endgeräten ist einer ihrer wertvollsten Dienste im Rahmen des NovaMDR-Lösungsangebots. Die Überwachung von Endpunkten ist entscheidend, um Angriffe auf diese Geräte zu stoppen.
Der NovaMDR-Dienst sucht nach Endpunkt-Agentendiensten, die nicht mehr reagieren oder nicht mehr rechtzeitig aktualisierte Telemetriedaten senden. Das Team von ForeNova überwacht auch verschiedene andere Bereiche in den Kundennetzwerken und sucht nach der Verbreitung von Ransomware, die möglicherweise von einem ursprünglichen NDR-Angriff ausgegangen ist.
Die Sicherheitstechniker von ForeNova können durch kontinuierliche Überwachung und Bedrohungsanalyse schnell auf ein NDR-Killerereignis und andere Cyberangriffe reagieren. Die umfassende Beobachtung der Kundenumgebung in Kombination mit Telemetriedaten aus verschiedenen Quellen hilft dem ForeNova-Team, eine weitaus präzisere und effektivere proaktive Sicherheitslage zu schaffen.
Warum ForeNova?
Erfahrung, Fachwissen und bewährte Methoden in verschiedenen Branchen machen ForeNova zu einem führenden Unternehmen im MDR-Bereich. Viele MDR-Anbieter sind auf bestimmte Sektoren spezialisiert oder bieten nur ein minimales Service-Engagement. ForeNova bietet mit seinem NovaMDR-Angebot eine breite Palette von Sicherheitsfunktionen. Diese Fähigkeiten sind stark auf verschiedene Compliance-Mandate der Europäischen Union abgestimmt, einschließlich GDPR.
Die NovaMDR-Lösung von ForeNova bietet außerdem eine 24/7-Überwachung und Reaktionsmöglichkeiten, die eine schnelle und effektive Reaktion auf jegliche Sicherheitsvorfälle gewährleisten. Durch eine Partnerschaft mit ForeNova können Unternehmen ihre Cybersicherheitsmaßnahmen verbessern und das Risiko von Datenschutzverletzungen minimieren.
