Was ist ein EDR-Killer und wie funktioniert er?

Ein EDR-Killer ist ein spezielles Schadprogramm, das darauf ausgelegt ist, Sicherheitssoftware wie Endpunkt-Erkennung und -Abwehr (EDR) sowie Antivirenprogramme zu deaktivieren oder zu umgehen. Die aktuellsten Varianten nutzen verschleierte Verpackungen, missbrauchen signierte oder manipulierte Treiber und verändern sogar vertrauenswürdige Programme, um sich der Erkennung zu entziehen und Angreifern das unbemerkte Einschleusen weiterer Malware, etwa von Ransomware, zu ermöglichen.

Warum sind Unternehmen besonders gefährdet durch diese neuen Tools?

Unternehmen – besonders aus den Sektoren kritische Infrastruktur, Gesundheitswesen, Finanzdienstleistung und IT-Services – gelten als lukrative Ziele. Angreifer setzen bereits in frühen Phasen auf solche Tools, um möglichst effizient Schutzmaßnahmen auszuhebeln, Systemrechte zu erlangen und schließlich ihre Ransomware auszuführen. Der fortschrittliche EDR-Killer macht diese Angriffe effizienter und schwerer erkennbar.

Welche Methoden und Techniken nutzen EDR-Killer, um Schutzmechanismen zu umgehen?

EDR-Killer setzen auf eine Kombination mehrerer Techniken: Sie verpacken Schadcode in verschleierten Archiven, nutzen gestohlene oder manipulierte signierte Treiber, modifizieren ausführbare Dateien bekannter Anwendungen und verschleiern ihre Präsenz durch Obfuskation und Anti-Analyse-Strategien. Dadurch werden herkömmliche signatur- oder verhaltensbasierte Erkennungssysteme umgangen.

Mit welchen Maßnahmen können Organisationen sich gegen EDR-Killer schützen?

Zu den wichtigsten Abwehrmaßnahmen zählen die Aktivierung von Manipulationsschutz bei Sicherheitsprodukten, die konsequente Durchsetzung von Prinzipien der minimalen Rechtevergabe, das regelmäßige Aktualisieren aller Systemkomponenten und Treiber sowie das Überwachen auf ungewöhnliche Veränderungen an Programmen und bei Code-Signaturen. Investitionen in verhaltensbasierte Erkennung und eine robuste Endpunkt-Konfiguration erhöhen den Schutz gegen solche Bedrohungen.

Ein neues Risiko für Endpunkt-Schutz: Innovative EDR-Killer-Tools setzen Sicherheitslösungen außer Kraft

3 Minuten

Überblick: Eine neue Bedrohung für Endpunktsicherheit

IT-Sicherheitsforscher haben eine bislang unbekannte Untergrund-Werkzeug entdeckt, das es Angreifern ermöglicht, Erkennungs- und Abwehrmechanismen von Endpunktlösungen (EDR) und Antivirenprogrammen bereits vor dem Ausführen von Ransomware effektiv auszuschalten. Wie eine aktuelle Untersuchung von Sophos zeigt, bedienen sich verschiedene Ransomware-Gruppen bereits dieses neuen, leistungsstarken EDR-Killers, um Schutzmechanismen bekannter Hersteller wie Sophos, Bitdefender und Kaspersky zu deaktivieren. Diese Entwicklung markiert einen besorgniserregenden Fortschritt bei Schadsoftware, die gezielt auf das Umgehen von Antivirenlösungen und Privilegienausweitung abzielt.

Funktionsweise des EDR-Killers

Paketierung und Verschleierung

Die Malware wird häufig mithilfe von Verschleierungsdiensten wie HeartCrypt verpackt, um signaturbasierte Erkennung sowie automatisierte Analysen zu unterlaufen. Die Angreifer setzen zudem auf verschiedene Anti-Analyse-Methoden und missbrauchen teils sogar signierte Treiber – darunter gestohlene oder kompromittierte – zur Erlangung vertrauenswürdiger Ausführung auf Windows-Systemen.

Living-off-the-Land-Techniken und Manipulation ausführbarer Dateien

Sicherheitsforscher beobachten zunehmend, dass Angreifer nicht mehr nur verwundbare Treiber einschleusen, sondern direkt vertrauenswürdige Programme verändern. In einem Fall wurde ein Schadcode in das Clipboard Compare-Tool von Beyond Compare injiziert, wodurch eine ansonsten legitime Anwendung mit schädlichen Ressourcen versehen wurde. Mit diesem Vorgehen schaffen es Angreifer, vermeintlich authentische Installationsdateien oder Tools zu bauen, die oberflächlichen Prüfungen standhalten.

Funktionen, Vergleiche und Vorteile des neuen Werkzeugs

Multivendor-Beeinflussung: Anders als Vorgänger wie EDRKillShifter attackiert das neue Tool zahlreiche hochwertige EDR- und Antivirus-Plattformen gleichzeitig, was es für unterschiedliche Ransomware-Gruppen attraktiv macht.
Verbesserte Tarnung: Die Kombination aus Verschleierung, Code-Obfuskation und dem Gebrauch signierter Komponenten verschafft dieser Generation operationelle Vorteile gegenüber älteren Techniken.
Wiederverwendbarkeit: Das Tool zirkuliert innerhalb krimineller Foren, was die rasche Weiterentwicklung und Akzeptanz unter Cyberkriminellen fördert.

Im Gegensatz zum ersten EDRKillShifter (entdeckt Mitte 2024) verzichtet die neueste Variante weitgehend auf verwundbare Treiber und modifiziert stattdessen als vertrauenswürdig geltende Programme. Damit wird die Erkennung und Zuordnung für Verteidiger deutlich erschwert.

Einsatzszenarien und Bedeutung für den Markt

Primär findet dieses Tool in frühen Phasen von Ransomware-Angriffen Verwendung: etwa beim initialen Zugriff, der Privilegienausweitung oder beim Deaktivieren von Sicherheitsfunktionen. Besonders Unternehmen aus kritischen Infrastrukturen, Gesundheitswesen, Finanzsektor und IT-Dienstleister laufen Gefahr, da hier für Angreifer hohes Gewinnpotenzial besteht. Für Sicherheitsanbieter und Incident-Responder unterstreicht das Aufkommen solcher EDR-Killer den wachsenden Bedarf an fortschrittlicher Bedrohungs-Intelligenz, Laufzeitschutz und verhaltensbasierter Erkennung.

Abwehrmaßnahmen: Handfeste Schutzstrategien für Teams

Aktivieren Sie Manipulationsschutz: Vergewissern Sie sich, dass Ihre Endpunktschutz-Produkte über einen aktiven Manipulationsschutz oder Selbstverteidigungsmechanismen verfügen, damit keine lokalen Änderungen vorgenommen werden können.
Prinzip der minimalen Rechtevergabe und sichere Windows-Rollen durchsetzen: Gute Konten-Hygiene und die Reduktion von Administrationsrechten verringern das Risiko einer Rechteausweitung durch Angreifer.
Systeme und Treiber aktuell halten: Microsoft zieht zunehmend alte signierte Treiber zurück. Durch regelmäßige Updates und Ausmusterung veralteter Komponenten lässt sich deren Missbrauch verhindern.
Auf Auffälligkeiten bei der Modifikation ausführbarer Dateien und bei Code-Signaturen achten: Verhaltensorientierte EDR, Überwachung der Treiberintegrität und Dateiintegritätsprüfungen helfen, Manipulation zu erkennen.

Fazit

Das Auftauchen eines potenteren EDR-Killers zeigt eine verstärkte Zusammenarbeit von Ransomware-Gruppen und die bewusste Zweckentfremdung legitimer Werkzeuge. Unternehmen sollten ihre Endpunkt-Konfigurationen härten, eine konsequente Rechteverwaltung durchsetzen und gezielt in verhaltensbasierte Bedrohungserkennung investieren, um Bedrohungen, die Antiviren-Lösungen umgehen, einen Schritt voraus zu sein.

Quelle: techradar

Kommentare

Kommentar hinterlassen

Ein neues Risiko für Endpunkt-Schutz: Innovative EDR-Killer-Tools setzen Sicherheitslösungen außer Kraft

Überblick: Eine neue Bedrohung für Endpunktsicherheit

Funktionsweise des EDR-Killers

Paketierung und Verschleierung

Living-off-the-Land-Techniken und Manipulation ausführbarer Dateien

Funktionen, Vergleiche und Vorteile des neuen Werkzeugs

Einsatzszenarien und Bedeutung für den Markt

Abwehrmaßnahmen: Handfeste Schutzstrategien für Teams

Fazit

Kommentare

Ähnliche Beiträge

Nintendo entwickelt angelrollenähnliches Joy-Con 2-Zubehör für Switch 2

OnePlus 15: Neue Leaks zu Design, Technik und Release

Apple plant günstigstes MacBook aller Zeiten mit iPhone-Chip

Microsoft führt schlanke Microsoft 365 Taskleisten-Apps für Windows 11 ein

Elon Musk wirft Apple Bevorzugung von KI-Konkurrenz im App Store vor