Ваше EDR — перша ціль ransomware-атаки

Bring Your Own Vulnerable Driver

Техніка, яка дозволяє проводити такі атаки у великих масштабах, називається BYOVD — використання власного вразливого драйвера.
Ось як це працює:
Оператори програм-вимагачів додають до свого арсеналу легітимний, але вразливий драйвер Windows. Оскільки драйвер має дійсний цифровий підпис, система Windows вважає його довіреним. Після завантаження зловмисники використовують уразливість у драйвері, щоб отримати привілеї рівня ядра системи. Отримавши доступ до ядра, вони можуть завершити будь-який процес у системі — зокрема й агент системи виявлення та реагування на кінцевих пристроях (EDR).
На початку 2026 року угруповання VEN0M привернуло увагу через використання підписаного драйвера IObit для повного обходу Windows Defender. Драйвер успішно проходив перевірку цифрового підпису, тому Defender не мав підстав його блокувати. VEN0M використовували цей метод для вимкнення захисту кінцевих пристроїв у всьому середовищі перед запуском шкідливого навантаження.
Це відповідає технікам MITRE ATT&CK T1562.001 — порушення роботи засобів захисту через їх вимкнення або зміну — у поєднанні з T1068 — експлуатацією вразливостей для підвищення привілеїв. Це не нова техніка. Її активно використовують щонайменше з 2022 року, а оператори програм-вимагачів уже побудували навколо неї стабільні набори інструментів.
Спільнота фахівців із кібербезпеки давно звернула увагу на цю проблему. На Reddit одна з тем із заголовком на кшталт «Операторам програм-вимагачів байдуже до вашого захисту кінцевих пристроїв — вони вже його вимкнули» зібрала понад 300 схвальних оцінок і близько 90 коментарів. Фахівці ділилися реальними нотатками про інциденти, а не теоретичними припущеннями.

Що відбувається після вимкнення EDR

Після завершення роботи агента захисту кінцевого пристрою зловмисник отримує «сліпу зону». Немає телеметрії. Немає сповіщень. Немає поведінкового виявлення. Система керування подіями та інцидентами безпеки (SIEM) перестає отримувати події зі скомпрометованого вузла. Це може створити сповіщення про «мовчазний» агент, але рідко викликає негайну реакцію до завершення внутрішнього поширення атаки.

Далі зловмисники зазвичай діють за типовим сценарієм.

Спочатку вони переміщуються мережею, використовуючи легітимні системні інструменти та вбудовані можливості операційної системи: PsExec, WMI, RDP, мережеві SMB-ресурси. Усі ці засоби є стандартними адміністративними інструментами. Якщо EDR не працює та не відстежує поведінку процесів, система не бачить причин позначати такі дії як підозрілі.

Далі зловмисники знаходять і вимикають системи резервного копіювання — як локальні, так і хмарні — щоб позбавити компанію можливості відновлення та посилити тиск під час вимагання.

Після цього вони вивантажують дані перед шифруванням для реалізації подвійного вимагання. Саме на цьому етапі жертви згодом виявляють, що конфіденційні дані залишали мережу протягом кількох днів, хоча середовище зовні виглядало нормальним.

І лише потім запускається основна атака. Шифрування починає поширюватися мережею. До моменту появи першого повідомлення з вимогою викупу зловмисники часто вже перебувають у середовищі компанії протягом кількох тижнів.

В одному з дописів на Reddit у спільноті системних адміністраторів цей сценарій описали дуже точно:
«Вони справді все ретельно підготували. Три тижні перебували в мережі, перш ніж щось зробити».
У компанії був захист кінцевих пристроїв. Але це вже не мало значення.

Припущення, яке перестає працювати

Уся модель захисту, побудована навколо кінцевих пристроїв, базується на одному припущенні: агент захисту буде працювати саме тоді, коли він потрібен.
BYOVD руйнує це припущення ще на рівні ядра системи — до запуску будь-якого шкідливого навантаження. На момент початку ransomware-атаки агент захисту вже вимкнений.
Це не критика EDR як класу рішень. Такі системи залишаються цінними та здатні зупиняти значну кількість атак, які не доходять до етапу використання вразливих драйверів. Проблема полягає в архітектурі: якщо рівень захисту можна нейтралізувати ще до того, як він встигне спрацювати, його не можна вважати надійною останньою лінією оборони.
Підхід із контролем на мережевому рівні не має цієї слабкості. Аналіз і блокування трафіку відбуваються на рівні мережевої інфраструктури, а не на самому пристрої, тому не залежать від агента, який можна вимкнути. Навіть якщо агент EDR виведений з ладу, мережевий рівень захисту продовжує:
● блокувати вихідні з’єднання з відомими серверами керування та контролю;● запобігати внутрішньому поширенню атаки між сегментами мережі;● зупиняти вивантаження даних до того, як конфіденційна інформація залишить середовище;● виявляти аномальні шаблони трафіку, що свідчать про компрометацію вузла.
Зловмисник може вимкнути процес на кінцевому пристрої. Але він не може вимкнути механізми контролю, які працюють поза його межами.

Можливості виявлення, які все ще залишаються

Навіть після вимкнення EDR фахівці із захисту не залишаються без можливостей реагування — якщо мають видимість на рівні мережі. До або під час атак із використанням BYOVD на мережевому рівні можна помітити низку характерних ознак.

Передача драйвера:
Зловмисники часто завантажують вразливий драйвер із зовнішнього ресурсу або передають його через інфраструктуру керування та контролю. Такий трафік видно на мережевому рівні, і його можна заблокувати, якщо адреса призначення вже відома як шкідлива або позначена системами аналізу кіберзагроз.

Обмін із серверами керування та контролю:
Більшість інструментів, які використовуються після компрометації системи, регулярно взаємодіють із віддаленим сервером. Навіть якщо агент EDR уже вимкнений, цей трафік продовжує існувати й залишається видимим у мережі.

Ознаки внутрішнього поширення атаки:
Раптовий SMB-трафік між вузлами, які зазвичай не взаємодіють між собою, RDP-підключення з неочікуваних джерел, виклики WMI між різними сегментами мережі — усі ці шаблони помітні в мережевому трафіку незалежно від того, що відбувається на самому пристрої.

Вивантаження даних:
Тривала передача великих обсягів даних на зовнішні ресурси добре помітна в мережевих потоках навіть тоді, коли процес, який генерує цей трафік, виглядає легітимним.

Саме тому мережева видимість — це не просто доповнення до захисту кінцевих пристроїв. Це окремий рівень виявлення та контролю, який працює незалежно від стану конкретного вузла чи агента захисту.

Контрольний список для захисту

Якщо ви переглядаєте архітектуру захисту з урахуванням загрози BYOVD, почніть із таких перевірок:
● Перевірте, як ваш постачальник EDR реагує на BYOVD: чи здатен агент захищати власний процес і яким саме чином?● Переконайтеся, що ваша інфраструктура формує сповіщення у випадку примусового завершення агента EDR, і перевірте, наскільки швидко це відбувається.● Підтвердьте наявність видимості внутрішнього мережевого трафіку між сегментами, а не лише моніторингу периметра.● Перевірте, чи будуть блокуватися вихідні з’єднання зі скомпрометованих вузлів навіть у випадку, якщо телеметрія кінцевого пристрою перестане надходити.● Перегляньте джерела даних про кіберзагрози на наявність відомих шкідливих хешів драйверів та інфраструктури, пов’язаної з BYOVD.

Рівень захисту, який неможливо вимкнути з кінцевого пристрою

Оператори програм-вимагачів стають ефективнішими не тому, що знайшли новий клас уразливостей. Їхня перевага в тому, що вони навчилися прибирати інструменти захисту ще до запуску атаки.

Якщо ваша модель безпеки повністю залежить від агентів захисту на кінцевих пристроях і від того, чи вони працюють, у вас є єдина точка відмови, яку зловмисники вже навчилися атакувати. Контроль і блокування на мережевому рівні, які працюють незалежно від стану кінцевого пристрою, — це не резервний варіант захисту. У сценаріях із BYOVD це основний рівень виявлення та стримування атаки.

Система проактивного захисту threatER працює на мережевому рівні, блокуючи шкідливий трафік та внутрішнє поширення атаки незалежно від стану агента захисту на пристрої.