Объяснение принципа действия EDR-киллеров: за пределами драйверов

В последние годы EDR-киллеры стали одним из наиболее распространенных инструментов при современных атаках с использованием программ-вымогателей: злоумышленник получает высокие привилегии, развертывает такой инструмент для обхода защиты и только после этого запускает шифровальщик. Помимо доминирующей техники «Bring Your Own Vulnerable Driver» (BYOVD), мы также часто наблюдаем, как злоумышленники злоупотребляют легитимными антируткит-утилитами или используют подходы без драйверов, чтобы заблокировать связь программного обеспечения для обнаружения и реагирования на угрозы на конечных устройствах (EDR) или приостановить его работу. Этих инструментов не только много, но они также ведут себя предсказуемо и последовательно, и именно поэтому партнеры злоумышленников обращаются к ним.

В этом блоге мы представляем наше видение «убийц EDR», основанное на телеметрии ESET и расследованиях инцидентов. Исследование основано на анализе и отслеживании почти 90 «убийц EDR», активно используемых в реальных условиях. Наше внимание выходит за рамки уязвимых драйверов, которые доминируют в большинстве обсуждений: мы документируем, как аффилированные лица выбирают, адаптируют и используют «убийц EDR» в реальных вторжениях, и что это означает для атрибуции и защиты.

Мы объясняем, почему анализ, ориентированный на драйверы, часто вводит в заблуждение при атрибуции групп, показываем конкретные случаи повторного использования и переключения драйверов между несвязанными кодовыми базами, а также подчеркиваем рост числа атак без использования драйверов наряду с коммерциализированными, упрочненными наборами. Результатом является четкая, основанная на фактах картина того, как «убийцы EDR» функционируют как предсказуемый этап в современных операциях с использованием программ-вымогателей.

Ключевые моменты этой статьи:

• Убийцы EDR являются неотъемлемой частью современных атак с использованием программ-вымогателей; партнеры предпочитают короткий, надежный промежуток времени для запуска шифровальников, а не постоянное изменение полезных нагрузок.
• Убийцы EDR выбирают партнеры, а не операторы; чем больше пул партнеров, тем больше разнообразие инструментов.
• Один и тот же драйвер встречается в несвязанных инструментах, а один и тот же инструмент может переходить с одного драйвера на другой. В результате атрибуция групп на основе драйверов часто вводит в заблуждение.
• «Пакер как услуга» и «убийца EDR как продукт» повышают доступность, затрудняют атрибуцию и усложняют защиту.
• EDR-киллеры используют методы обхода защиты, в то время как шифровальщики сосредоточены исключительно на шифровании.
• Мы имеем серьезные подозрения, что при разработке некоторых EDR-киллеров использовался ИИ, и приводим конкретный пример с группировкой Warlock.
• Хотя доминирует подход «BYOVD», также используются пользовательские скрипты, антируткиты и EDR-киллеры без драйверов.

Обзор EDR-киллеров

Исследователи ESET уделяют внимание не только уязвимым драйверам, которые так часто используются этими инструментами. Как мы покажем, установление каких-либо связей исключительно на основе неправомерно используемых драйверов является недостаточным и может привести к неверным предположениям.

Картина, раскрываемая этим исследованием, обширна: от бесконечных форков доказательств концепции (PoC) до сложных профессиональных реализаций. Сосредоточение внимания на коммерческих EDR-киллерах (рекламируемых в даркнете) позволяет нам лучше понять их клиентскую базу и обнаружить скрытые связи. EDR-киллеры, разработанные собственными силами, дают представление о внутреннем устройстве закрытых групп. Кроме того, виб-кодирование еще больше усложняет ситуацию. Мы предоставляем технический обзор EDR-киллеров, включая уязвимые драйверы, в Технологии, лежащие в основе EDR-киллеров
.

На момент написания данной статьи наше понимание ландшафта EDR-киллеров основано на следующем:

• Мы обнаружили в общей сложности почти 90 «убийц» EDR, активно используемых практически всеми группировками-вымогателями, как крупными, так и мелкими:

  ○ 54 из них основаны на BYOVD и используют в общей сложности 35 уязвимых драйверов,

  ○ 7 из них основаны на скриптах, и

  ○ 15 из них представляют собой антируткиты или другое свободно доступное программное обеспечение.

• Для 24 EDR-киллеров на основе BYOVD нам не известно о публично доступном PoC, на котором они основаны; мы полагаем, что их разработчики реализовали эти инструменты с нуля и вдохновлялись только кодом эксплуатации драйверов.

В этой статье мы будем называть организации, формирующие модель «вымогательство как услуга», следующим образом:

• Операторы, которые разрабатывают полезную нагрузку программы-вымогателя, управляют ключами дешифрования, поддерживают специальный сайт для публикации украденных данных, часто ведут переговоры о выплате выкупа с жертвами и предлагают другие инструменты и услуги за ежемесячную плату или процент от суммы выкупа (обычно 5–20%).
• Партнеры, которые арендуют услуги по распространению программ-вымогателей у операторов, развертывают шифровальщики в сетях жертв и выносят данные с компьютеров жертв.

Почему EDR-киллеры так популярны?

Чтобы успешно зашифровать данные, разработчикам программ-вымогателей необходимо избежать обнаружения. В настоящее время доступен широкий спектр отлаженных методов уклонения от обнаружения, начиная от упаковки и виртуализации кода и заканчивая сложными методами внедрения. Однако мы редко видим, чтобы какие-либо из них реализовывались в программах-шифровальщиках. Вместо этого злоумышленники, создающие программы-вымогатели, выбирают EDR-киллеры, чтобы вывести из строя решения безопасности непосредственно перед развертыванием шифровальщика. Такой подход естественным образом вызывает вопрос: почему бы вместо этого не инвестировать средства в то, чтобы сделать программы-шифровальщики незаметными?

Надежность и простота эксплуатации для разработчиков шифрователей

Группировки, занимающиеся вымогательством выкупа, особенно те, которые используют программы «вымогатель как услуга» (RaaS), часто выпускают новые версии своих шифровальщиков, и обеспечение надежного обхода обнаружения каждой новой версии может быть трудоемким процессом. Что еще более важно, шифровальники по своей природе очень «шумны» (поскольку им необходимо изменять большое количество файлов за короткий промежуток времени); сделать такое вредоносное ПО незаметным довольно сложно. EDR-киллеры представляют собой более чистую альтернативу. Вместо того чтобы встраивать логику обхода обнаружения в каждое обновление шифровальника, злоумышленники просто полагаются на внешний инструмент, который нарушает работу или отключает средства безопасности непосредственно перед запуском, благодаря чему шифровальники остаются простыми, стабильными и легко восстанавливаемыми.

Низкая стоимость, высокая эффективность

Как показано в этом блоге, EDR-киллеры чрезвычайно доступны. Не все злоумышленники или их пособники обладают навыками разработки собственных стратегий обхода защиты. Но благодаря обширным коллекциям общедоступных PoC EDR-киллеры фактически стали «plug-and-play».

В то же время EDR-киллеры часто полагаются на легитимные, но уязвимые драйверы, что значительно затрудняет защиту, не создавая риска сбоев в работе устаревшего или корпоративного программного обеспечения. Результатом является класс инструментов, которые оказывают воздействие на уровне ядра с минимальными затратами на разработку, что делает эти инструменты непропорционально мощными, учитывая их простоту.

Предсказуемость и повторяемость во время вторжений

Упаковка или внедрение кода может помочь имплантату ускользнуть от обнаружения, но это не гарантирует долгосрочную стабильность полезной нагрузки вымогателя на заключительном этапе вторжения. Из-за многоуровневой защиты, обеспечиваемой продуктами безопасности, упакованные шифровальники все равно могут быть обнаружены в памяти или на других этапах выполнения. С другой стороны, EDR-киллеры обеспечивают предсказуемый и повторяемый шаг в цепочке атак, предоставляя злоумышленникам более детерминированный рабочий процесс. Кроме того, EDR-киллеры нацелены на срыв работы решения безопасности в целом, эффективно устраняя все уровни защиты.

Технология, лежащая в основе EDR-киллеров

Скрипты

Самые простые EDR-киллеры не полагаются на уязвимые драйверы или другие сложные методы. Вместо этого они злоупотребляют встроенными административными инструментами и командами, такими как taskkill, net stop или sc delete, чтобы вмешиваться в процессы и службы продуктов безопасности. Эти примитивные подходы все еще появляются время от времени, но в настоящее время в основном ассоциируются с малоопытными злоумышленниками, использующими программы-вымогатели, и обычным вредоносным ПО.

Немного более изощренные варианты сочетают использование скриптов с безопасным режимом Windows. Поскольку в безопасном режиме загружается лишь минимальный набор компонентов операционной системы, а решения безопасности, как правило, не включаются, у вредоносного ПО появляется больше шансов отключить защиту. В то же время такая деятельность очень заметна, так как требует перезагрузки, что рискованно и ненадежно в неизвестных средах. Поэтому в реальных условиях она встречается крайне редко.

Серая зона: антируткиты

Много лет назад, до того как Microsoft ввела обязательную подпись драйверов ядра, руткиты процветали в экосистеме киберпреступности, скрывая вредоносную активность путем манипулирования структурами ядра. Их распространенность привела к разработке специализированных антируткит-инструментов, предназначенных для их обнаружения и удаления. Поскольку руткиты работают в режиме ядра, такие инструменты, естественно, требуют высоких привилегий и собственных драйверов для обнаружения, перечисления и нейтрализации руткитов.

Сегодня партнеры по распространению программ-вымогателей часто злоупотребляют этими же антируткит-инструментами: не для удаления руткитов, а для вывода из строя решений безопасности. Многие антируткиты предлагают удобный графический интерфейс, который позволяет пользователям (в том числе злоумышленникам с небольшими техническими навыками) завершать защищенные процессы или службы. Другими словами, легитимные инструменты исправления стали удобными «убийцами» EDR при неправомерном использовании. К таким инструментам относятся GMER (см. рис. 1), HRSword и PC Hunter.

Руткиты

Хотя руткиты в современной киберпреступности встречаются в основном редко, все же появляются заметные исключения. Одним из примеров прошлого года является ABYSSWORKER — руткит режима ядра, привлекший внимание после того, как его создателям удалось подписать его с помощью сертификатов, похищенных у китайских компаний. Эти сертификаты также использовались для подписи другого вредоносного ПО и поэтому не являются специфическими для ABYSSWORKER. Поскольку украденные сертификаты принадлежат к цепочке доверенных сертификатов, такой драйвер по-прежнему может запускаться в ядре. И, что еще больше усложняет ситуацию, даже отзыв сертификата не является надежным решением, как недавно продемонстрировала Huntress.

Уязвимые драйверы

Техника BYOVD стала визитной карточкой современных «убийц» EDR: доминирующая, надежная и широко используемая. В типичном сценарии злоумышленник заносит на компьютер жертвы легитимный, но уязвимый драйвер, устанавливает его, а затем запускает вредоносное ПО, которое использует уязвимость драйвера. Цель — завершить защищенные процессы или отключить обратные вызовы, на которые полагаются продукты безопасности.

Хотя существуют тысячи легитимных уязвимых драйверов, только относительно небольшая их часть активно используется в инцидентах с вымогательским ПО. Однако наличие общедоступных доказательств концепции (PoC) означает, что фактически нет ограничений на количество злоумышленников, которые могут применять или адаптировать эксплойты для этих уязвимостей. Некоторые злоумышленники повторно используют существующие кодовые базы с минимальными изменениями или без них, другие не изменяют логику, но переписывают их на предпочитаемый язык программирования, а некоторые даже разрабатывают совершенно новые «убийцы EDR» (сохраняя лишь небольшую часть исходного кода, отвечающую за эксплуатацию драйвера), которые они либо используют самостоятельно, либо предлагают в качестве услуги.

«Убийцы» EDR без драйверов

Наконец, небольшой, но растущий класс «убийц» EDR достигает своих целей, вообще не затрагивая ядро. Вместо того чтобы завершать процессы EDR, эти инструменты вмешиваются в работу других критически важных функций. Примерами являются такие инструменты, как EDRSilencer, который блокирует связь между конечным устройством и его бэкэндом безопасности, и EDR-Freeze, который приводит к «зависанию» процессов EDR или их невосприимчивости к запросам. Эти методы без использования драйверов популярны, поскольку их нестандартный подход затрудняет обнаружение и устранение угроз, а также потому, что они общедоступны. Действительно, исследователи ESET наблюдали быстрое внедрение этих инструментов в течение нескольких дней злоумышленниками, использующими программы-вымогатели.

Кто разрабатывает EDR-киллеры?

В 2025 году исследователи ESET опубликовали анализ EDRKillShifter — «убийцы EDR», разработанного операторами RansomHub и предлагаемого напрямую их партнерам. На момент написания статьи нам не известно о каких-либо других программах RaaS, операторы которых предоставляют собственные «убийцы EDR». Это делает ныне несуществующий RansomHub заметным исключением в ландшафте программ-вымогателей.

Вместо этого большинство злоумышленников относятся к одной из следующих категорий:

• группировки, не относящиеся к RaaS, разрабатывающие собственные «убийцы» EDR,
• злоумышленники, которые создают форки и слегка модифицируют открытый код доказательства концепции, или
• злоумышленники, приобретающие EDR-киллер на подпольных торговых площадках.

Рассмотрим эти ситуации более подробно.

Закрытые группы

Группировки, не относящиеся к RaaS, обычно действуют как полностью закрытые экосистемы: без партнеров, без посредников по первоначальному доступу и без внешних партнеров. Эти группы поддерживают жесткий контроль над своими рабочими процессами проникновения и, как правило, полагаются на повторяемый, внутренне согласованный набор TTP. Учитывая такой уровень оперативной дисциплины, разработка собственных убийц EDR становится естественным расширением их набора инструментов.

Исследователи ESET выделили ранний пример этой модели внутренней разработки в 2024 году на примере банды Embargo. В то время Embargo полагалась на два «убийцы EDR»:

• специальный скрипт для безопасного режима, использующий описанную ранее технику, и
• MS4Killer — инструмент, созданный на основе общедоступного PoC s4killer.

Хотя MS4Killer был основан на уже доступном PoC, его разработчики внесли в него существенные изменения: добавили параллелизм, изменили поток выполнения кода, а также зашифровали строки и встроенный драйвер. После публикации этого исследования Embargo перешла на еще один общедоступный PoC — evil‑mhyprot‑cli — на этот раз с минимальными изменениями в коде.

Второй, более свежий пример — группировка DeadLock. DeadLock ведет себя незаметно, избегая создания специального сайта для утечки данных и ведя все переговоры через Session, популярную альтернативу более распространенному Tox. Исследователи ESET заметили, что DeadLock использует два EDR-киллера — DLKiller (также упомянутый Cisco Talos как безымянный загрузчик) и Susanoo — а также антируткиты, такие как GMER и PC Hunter. Исследователи ESET с низкой степенью уверенности полагают, что DLKiller и шифратор DeadLock являются работой одного и того же разработчика из-за заметных, но сами по себе нерешающих сходств в коде. Интересно, что Susanoo предоставляет экран загрузки и графический интерфейс, оба представленные на рисунке 2, что позволяет осуществлять ручное взаимодействие и предполагает, что у злоумышленника есть интерактивный доступ к компьютеру жертвы.

Как ясно видно на скриншоте, Susanoo предлагает кнопки для предварительной загрузки списка отслеживаемых процессов — специальную кнопку, нацеленную на процессы, связанные с Sophos, и кнопку «TNT», нацеленную на все процессы, известные Susanoo.

Третьим и последним примером является Warlock. Хотя сайт утечек Warlock молчит с⁶ ноября 2025 года, группа продолжает действовать и расширяет свой технический арсенал. Эта группировка известна своей готовностью к экспериментам: она адаптировала технику злоупотребления VS Code для скрытого удаленного доступа, ранее задокументированную в сентябре 2024 года и использовавшуюся группой Mustang Panda APT, а также стала пионером в злонамеренном использовании Velociraptor. С тех пор Warlock последовательно полагается на эти методы. Его подход к шифровальщикам также отражает эту модель — со временем Warlock использовал множество различных шифровальщиков, начиная от пользовательских и заканчивая вариантами на основе Babyk или сгенерированными с помощью утечки LockBit Black builder.

Учитывая все это, эксперименты Warlock с EDR-киллерами неудивительны. С момента своего появления группировка регулярно развертывала несколько EDR-киллеров за одно вторжение, а в ходе недавних операций — иногда даже десятки, эффективно пробиваясь методом перебора к рабочему решению. Инструментарий Warlock разнообразен не только по количеству, но и по технической сложности: группировка не ограничивается одним уязвимым драйвером и на сегодняшний день злоупотребила по крайней мере девятью различными драйверами, включая некоторые, для которых не существует общедоступных доказательств концепции (по крайней мере, насколько нам известно); эта деталь подчеркивает техническую компетентность группы и ее способность адаптировать инструменты для атак, выходящие за рамки того, что легко доступно общественности.

Модификация PoC

Это, безусловно, самый распространенный подход, наблюдаемый при проникновениях с использованием программ-вымогателей. Злоумышленники часто берут существующий, хорошо протестированный PoC и корректируют только некритические компоненты перед его использованием в реальных атаках. Эти модификации обычно включают:

• удаление или изменение отладочных сообщений,
• добавление кода-обфускации,
• настройка списка целевых продуктов безопасности, а также
• переписывание инструмента на другой язык программирования.

Однако ключевым моментом является то, что основная логика эксплуатации, особенно та часть, которая взаимодействует с уязвимым драйвером, практически никогда не меняется. Эта логика часто сводится к простому вызову Windows API DeviceIoControl с «правильным» значением dwIoControlCode и именем процесса, который нужно завершить, в lpInBuffer. В то время как переименование строк, реструктуризация кодовой базы или переписывание инструмента на другом языке — это операции, не требующие глубоких технических знаний, модификация логики эксплуатации, безусловно, таковыми является, и поэтому ее обычно избегают.

Хотя существует множество общедоступных PoC для EDR-киллеров, один репозиторий выделяется: BYOVD от BlackSnufkin. Он регулярно обновляется и содержит (на момент написания статьи) PoC для эксплуатации 10 уязвимых драйверов, каждый из которых реализован по одному и тому же модульному шаблону. Такая реализация позволяет легко вносить изменения, расширять функционал и добавлять поддержку новых драйверов. Кроме того, код хорошо документирован (см. рис. 3), что делает этот репозиторий наиболее часто используемым в реальных атаках с использованием программ-вымогателей.

Мы обнаружили один из EDR-киллеров BlackSnufkin, TfSysMon-Killer, развернутый во время атаки вымогательского ПО Monti в феврале 2025 года; развернутый вариант был идентичен с точки зрения функциональности, но был переписан с Rust на C++, вероятно, для согласования с другими инструментами злоумышленника. Еще одним примером смены языка программирования является dead-av, который его автор открыто описывает как переписанную на Go версию GhostDriver, еще одного PoC, созданного BlackSnufkin.

Более обширные усилия по модификации можно увидеть в SmilingKiller, убийце EDR, недавно обнаруженном исследователями ESET во время вторжений LockBit и Dire Wolf. Его разработчик вдохновился kill-floor, PoC-убийцей EDR, злоупотребляющей aswArPot.sys от Avast. Помимо модификации отладочных сообщений и добавления обфускации с выравниванием потока управления (см. рис. 4), автор также заменил используемый драйвер на K7RKScan.sys — тот же драйвер, который используется K7Terminator, еще одним PoC от BlackSnufkin.

EDR-киллер как услуга

Учитывая высокий и растущий спрос на инструменты для обхода EDR, неудивительно, что появился параллельный рынок коммерческих EDR-киллеров. Ассортимент предложений широк: некоторые объявления содержат лишь расплывчатые обещания без технических деталей, в то время как другие включают обширные списки функций, инструкции по использованию и даже видеодемонстрации. Ниже приведены три примечательных примера.

Одна из таких реклам, раскрытая Flare в октябре 2025 года, исходила от злоумышленника, использующего псевдоним Бафомет. Злоумышленник рекламировал EDR-киллер, который исследователи ESET позже назвали DemoKiller. Телеметрия ESET подтверждает, что DemoKiller использовался аффилированными лицами группировок Qilin, Akira и Gentlemen, и мы также наблюдали его развертывание один раз во время вторжения RansomHouse. Реклама показана на рисунке 5.

Еще один платный EDR-киллер основан на рутките ABYSSWORKER, о котором ранее говорилось в этом блоге. В сочетании с его загрузочным компонентом, упакованным с помощью HeartCrypt, который исследователи ESET назвали AbyssKiller, этот EDR-киллер стал одним из наиболее часто встречающихся коммерческих киллеров в дикой среде. Исследователи ESET наблюдали использование AbyssKiller членами группировок Medusa, DragonForce и ныне ликвидированной BlackSuit.

Последний примечательный пример — EDR-киллер, который мы называем CardSpaceKiller. Этот инструмент постоянно упаковывается с помощью VX Crypt, относительно нового пакера как услуги, проанализированного Sophos в конце 2025 года. VX Crypt не является уникальным для этого EDR-киллера; он также использовался для защиты других семейств вредоносного ПО, таких как BumbleBee. По данным Sophos, CardSpaceKiller появлялся при вторжениях, связанных с Akira, Medusa, Qilin и Crytox. Телеметрические данные ESET подтверждают эти выводы и дополнительно показывают его использование во время инцидентов с MedusaLocker. При анализе распакованного полезного груза сразу становится ясно, что этот EDR-киллер происходит из коммерческого продукта, в котором разработчик пытается обрабатывать крайние случаи с помощью предупреждения (см. рис. 6).

Характер и цена таких коммерчески рекламируемых инструментов варьируются. Некоторые утверждают, что продают исходный код, другие — только отдельные сборки. Цена часто является предметом индивидуальных переговоров; когда она раскрывается публично, она варьируется от сотен до тысяч долларов США.

EDR-киллеры и ИИ

Хотя набор уязвимых драйверов, которые подвергаются злоупотреблению, остается относительно небольшим, количество различных компонентов пользовательского режима, входящих в состав современных EDR-киллеров, быстро растет. Учитывая этот рост объема и разнообразия, в 2026 году естественно задаться вопросом: способствует ли ИИ этому распространению?

Определить, помог ли ИИ непосредственно в создании конкретной кодовой базы, зачастую практически невозможно. Не существует однозначного криминалистического маркера, который бы надежно отличал код, сгенерированный ИИ, от кода, написанного человеком, особенно когда злоумышленники подвергают его постобработке или обфускации. Однако исследователи ESET считают, что по крайней мере некоторые из недавно обнаруженных EDR-киллеров демонстрируют черты, явно указывающие на генерацию с помощью ИИ.

Яркий пример можно увидеть в EDR-киллере, недавно развернутом Warlock. Инструмент содержит участок кода, который не только выводит список возможных исправлений — типичный паттерн для шаблонного кода, сгенерированного ИИ, — но и, вместо того чтобы эксплуатировать конкретный драйвер, реализует механизм проб и ошибок, который циклически проходит по нескольким несвязанным, часто используемым злоумышленниками именам устройств, пока не найдет то, которое работает. Соответствующий код показан на рисунке 7.

За пределами драйверов

Для полного понимания экосистемы EDR-киллеров необходимо смотреть далеко за пределы уязвимых драйверов. Хотя эксплуатация драйверов остается доминирующим элементом многих инструментов, это лишь одна часть гораздо более широкой картины. Наше исследование показывает, что сосредоточение внимания исключительно на драйверах затуманивает значимые взаимосвязи между инструментами, аффилированными лицами и кластерами активности.

Ключевым наблюдением является разделение труда в экосистемах RaaS. Операторы обычно предоставляют шифровальщик и вспомогательную инфраструктуру, но выбор EDR-киллера остается за аффилированными лицами. Это означает, что чем больше пул аффилированных лиц, тем более разнообразными становятся инструменты EDR-киллера. В то же время постоянное повторное использование конкретных инструментов внутри определенных кластеров может помочь выявить новые аффилированные связи, укрепить инфраструктурные связи и раскрыть отношения между операторами и аффилированными лицами, которые остались бы незаметными, если бы рассматривались только семейства шифровальников.

Повторное использование и смена драйверов

Публичные PoC сделали эксплуатацию драйверов широко доступной, но это создало заблуждающую ситуацию: один и тот же уязвимый драйвер часто повторно используется в несвязанных между собой EDR-киллерах, а один и тот же EDR-киллер может со временем использовать разные драйверы. В результате атрибуция, основанная исключительно на драйверах, подвержена ошибкам.

Ярким примером является драйвер Baidu Antivirus BdApiUtil.sys, который встречается в нескольких независимых проектах, включая:

• dead-av,
• BdApiUtil-Killer,
• DLKiller,
• HexKiller, один из EDR-киллеров Warlock, и
• SevexKiller — недавний убийца EDR, обнаруженный во время развертываний Akira.

Такая же картина наблюдается с драйвером TfSysMon.sys (ThreatFire System Monitor). Им злоупотребляют TfSysMon-Killer, Susanoo и EDRKillShifter — три кодовые базы с различными реализациями и историей разработки.

Смена драйверов также является распространенной практикой. Например, CardSpaceKiller изначально использовал HwRwDrv.sys, но более поздние варианты перешли на ThrottleStop.sys с минимальными изменениями в остальной логике. Драйвер можно заменить; уровень эксплуатации остается в основном прежним.

Это иллюстрирует более общую мысль: драйверы являются обычным ресурсом, и само по себе их наличие дает мало информации о сложности действий злоумышленников или их взаимосвязях.

Обход средств обнаружения

Злоумышленники не прилагают больших усилий, чтобы их шифровальники оставались незамеченными. Напротив, все сложные методы обхода защиты перенеслись в компоненты EDR-киллеров, работающие в пользовательском режиме. Эта тенденция наиболее заметна в коммерческих EDR-киллерах, которые часто включают в себя отлаженные функции противодействия анализу и обнаружению. К числу заметных повторяющихся методов относятся:

• Разделение драйвера. Киллер и драйвер часто поставляются отдельно. Партнеры сначала вручную устанавливают драйвер, проверяя, что он успешно загружается, прежде чем запускать собственно компонент для уничтожения EDR.
• Использование коммерческих упаковщиков. Упаковщики, такие как VX Crypt (используемый с CardSpaceKiller) и HeartCrypt (используемый с AbyssKiller), обеспечивают обфускацию на уровне структуры, поведение, противодействующее виртуальным машинам, и непрерывную переупаковку для обхода статических сигнатур. Также предпочтение отдается популярным средствам защиты с виртуализацией кода, таким как VMProtect и Themida.
• Зашифрованные встроенные драйверы. Когда драйвер входит в состав EDR-киллера, он часто хранится в зашифрованном виде.
• Внешние зашифрованные полезные нагрузки. Некоторые EDR-киллеры хранят зашифрованный шелл-код или вспомогательные компоненты в отдельных файлах. Такой подход эффективно скрывает важные части киллера, делая их недоступными для специалистов по защите.
• Обфускация кода. К распространенным методам относятся сглаживание потока управления (SmilingKiller), разрешение вызовов по хешу (CardSpaceKiller) и обфускация строк
• Защита паролем. EDRKillShifter — прекрасный пример использования этой техники. Защита важной части EDR-киллера паролем создает проблемы для обнаружения, но также открывает возможности для исследований.

Защита от программ-вымогателей и EDR-киллеров

Защита от программ-вымогателей требует принципиально иного подхода, чем защита от автоматизированных угроз. Фишинговые письма, стандартное вредоносное ПО и цепочки эксплойтов прекращают свою деятельность, как только их обнаруживают и нейтрализуют решения безопасности; вторжения программ-вымогателей — нет. Это интерактивные операции, управляемые людьми, и злоумышленники постоянно адаптируются к системам обнаружения, сбоям инструментов и препятствиям в среде. В результате, даже когда отдельные шаги обнаруживаются, они имеют защитную ценность только в том случае, если защитники — будь то внутренняя команда SOC, MSSP или поставщик MDR — реагируют правильно, немедленно и с достаточной решительностью.

Большинство EDR-киллеров полагаются на легитимные, но уязвимые драйверы, поэтому защитники часто инстинктивно сосредотачиваются на блокировке драйверов. Блокировка загрузки драйвера — важный шаг, который действительно нейтрализует EDR-киллер, но только в самый последний момент. К тому времени, когда сообщник пытается установить драйвер, он, как правило, уже обладает высокими привилегиями и находится в нескольких секундах от запуска шифрователя. Если EDR-киллер не сработает, он просто попробует другой инструмент.

Поскольку эти драйверы являются легитимными, чрезмерно агрессивное блокирование создает риск сбоев в работе критически важного для бизнеса программного обеспечения, что усложняет реагирование на инциденты. Целевое блокирование также сталкивается с проблемами. В феврале 2025 года Check Point продемонстрировала, что злоумышленники смогли создать более 2500 образцов Truesight.sys, и все они оставались действительными благодаря уязвимости в процессе проверки действительности подписи. Truesight.sys — это также один из многих примеров уязвимости в политике подписи драйверов Microsoft. Год спустя, в феврале 2026 года, Huntress проанализировала инцидент, в ходе которого злоумышленники использовали EnPortv.sys, несмотря на то что его сертификат истек и был явно отозван.

Именно поэтому стратегия, ориентированная в первую очередь на предотвращение, имеет решающее значение. Блокировка загрузки драйверов, которые часто используются злоумышленниками, является эффективным и необходимым механизмом защиты, но она не должна быть единственной. Изучение EDR-киллеров позволяет защитникам разработать многоуровневую стратегию, расширяющую горизонты; цель состоит в том, чтобы остановить EDR-киллер до его запуска. В конце концов, когда речь идет о программах-вымогателях, наиболее эффективной стратегией защиты является наличие методов обнаружения, локализации и устранения угрозы на каждом возможном этапе.

Заключение

EDR-киллеры сохраняются, потому что они дешевы, надежны и не связаны с шифровальником — идеальное решение как для разработчиков шифровальников, которым не нужно сосредотачиваться на том, чтобы сделать свои программы незаметными, так и для партнеров, которые получают простую в использовании и мощную утилиту для обхода защиты до начала шифрования.

Наше исследование представляет основанные на телеметрии данные об экосистеме EDR-киллеров, выходящие за рамки широко распространенного подхода, ориентированного на драйверы. Мы документируем, как именно партнеры, а не операторы, определяют разнообразие инструментов, и как кодовые базы регулярно повторно используют и заменяют драйверы. Мы описываем, как в прошлом году наблюдалась растущая коммерциализация предложений по EDR-киллерам, и демонстрируем, как именно коммерческие EDR-киллеры могут предоставлять методы обхода защиты, которые обычно отсутствуют в шифровальных программах.

Мы подчеркиваем, что хотя предотвращение загрузки уязвимых драйверов является важным шагом в линии защиты, это также может привести к потенциальным сбоям в работе бизнеса, поэтому не следует полагаться только на это и следует стремиться срывать работу EDR-киллеров еще до того, как у них появится возможность загрузить драйвер. Кроме того, мы продемонстрировали, что подходы без использования драйверов, будь то на основе скриптов или уязвимостей, являются предпочтительным дополнением к арсеналу любого злоумышленника, использующего программы-вымогатели.

По любым вопросам, касающимся наших исследований, опубликованных на WeLiveSecurity, обращайтесь к нам по адресу threatintel@eset.com.

ESET Research предлагает частные отчеты по APT-угрозам и информационные ленты. По любым вопросам об этой услуге посетите страницу ESET Threat Intelligence.

IoC

Полный список индикаторов компрометации (IoC) и образцов можно найти в нашем репозитории GitHub.

Файлы

Техники MITRE ATT&CK

Эта таблица была составлена с использованием версии 18 фреймворка MITRE ATT&CK.

Читать полный анализ на WeLiveSecurity →