54 EDR Killer Aracı: 34 Savunmasız Sürücü ile Güvenlik Yazılımları Devre Dışı Bırakılıyor
ESET analizine göre 54 EDR killer aracı, 34 savunmasız imzalı sürücüyü istismar ederek güvenlik yazılımlarını devre dışı bırakıyor. BYOVD tekniği ransomware saldırılarında yaygın.
ESET araştırmacılarının yeni analizine göre, 54 farklı EDR (Endpoint Detection and Response) killer aracı, toplamda 34 savunmasız imzalı sürücüyü istismar ederek güvenlik yazılımlarını devre dışı bırakıyor.
BYOVD Tekniği: İmzalı Sürücüler Silah Olarak Kullanılıyor
EDR killer programları, ransomware saldırılarında güvenlik yazılımlarını etkisiz hale getirmek için yaygın olarak kullanılıyor. ESET araştırmacısı Jakub Souček, "Ransomware grupları, özellikle RaaS (Ransomware-as-a-Service) programları olanlar, sürekli yeni encryptor buildleri üretiyor ve her yeni buildin tespit edilmemesini sağlamak zaman alıcı" diyor.
BYOVD (Bring Your Own Vulnerable Driver) saldırılarının amacı, kernel-mode ayrıcalıkları (Ring 0) elde etmek. Bitdefender explains: "Saldırganlar imzasız kötü amaçlı sürücü yükleyemediği için, bilinen bir zafiyete sahip ancak güvenilir bir satıcı (donanım üreticisi veya eski antivirüs sürümü) tarafından imzalanmış sürücüyü 'getiriyorlar'."
Kimler EDR Killer Geliştiriyor?
ESET, BYOVD tabanlı EDR killerları geliştiren üç ana tehdit aktörü tipi belirledi:
- Kapalı ransomware grupları: DeadLock ve Warlock gibi affiliate modeline dayanmayan gruplar
- PoC kodunu çatallayan saldırganlar: Mevcut proof-of-concept kodlarını alıp düzenleyenler (SmilingKiller, TfSysMon-Killer gibi)
- Yer altı pazarlarında araç satan siber suçlular: DemoKiller (Бафомет), ABYSSWORKER ve CardSpaceKiller gibi araçları servis olarak sunanlar
Script Tabanlı ve Driverless Araçlar
Araştırmacılar, taskkill, net stop veya sc delete gibi yerleşik yönetici komutlarını kullanarak güvenlik ürünü süreçlerini engellemeye çalışan script tabanlı araçlar da tespit etti. Bazı varyantlar scripting ile Windows Safe Mode'u birleştiriyor.
Driverless EDR killerlar yeni ortaya çıkan bir sınıf: EDRSilencer ve EDR-Freeze gibi araçlar, EDR çözümlerinden giden trafiği engelleyerek programları "koma" benzeri bir duruma sokuyor.
Anti-Rootkit Araçları da Hedef Oluyor
Üçüncü kategori, GMER, HRSword ve PC Hunter gibi meşru anti-rootkit araçlarını içeriyor. Bu araçlar, korumalı süreçleri veya servisleri sonlandırmak için kullanıcı dostu arayüzler sunuyor.
Kurumsal Savunma Stratejileri
Yaygın olarak kötüye kullanılan sürücülerin yüklenmesini engellemek gerekli bir savunma mekanizması. Ancak EDR killerlar saldırı yaşam döngüsünün son aşamasında çalıştığı için, bu aşamada başarısızlık saldırganın başka bir araca geçmesine neden olabilir.
ESET uyarıyor: "EDR killerlar ucuz, tutarlı ve encryptordan bağımsız oldukları için varlıklarını sürdürüyor – hem encryptor geliştiricileri hem de affilateler için mükemmel bir uyum."
Kuruluşların, saldırı yaşam döngüsünün her aşamasında tehditi proaktif olarak izlemek, işaretlemek,Contain etmek ve düzeltmek için katmanlı savunma ve tespit stratejileri uygulaması gerekiyor.
Kaynak: thehackernews.com
Yorumlar
0İlgili Makaleler
Interlock Ransomware Grubu Cisco Firewall Açığını Zero-Day Olarak Sömürdü
Amazon, Interlock ransomware grubunun Cisco Secure Firewall Management Center açığını CVE-2026-20131 yama yayınlanmadan 38 gün önce zero-day olarak sömürdüğünü ortaya çıkardı.
CISA, Cisco FMC'de Kritik RCE Açığını KEV Kataloğuna Ekledi
CISA, Cisco FMC ve SCC Firewall Management'daki kritik RCE açığı CVE-2026-20131'i KEV kataloğuna ekledi. Interlock ransomware grubu açığı Ocak 2026'dan beri sömürüyor.
Bitrefill: Siber Saldırıyı Kuzey Kore'li Lazarus Grubu Düzenledi
Bitrefill, Mart başındaki siber saldırıyı Kuzey Kore'li Lazarus/Bluenoroff grubunun düzenlediğini açıkladı. 18.500 müşteri kaydı ifşa oldu, kripto cüzdanlar hedef alındı.
ABD İstihbarat Şefleri: Section 702 Gözetim Yetkisi Değişiklik Yapılmadan Uzatılmalı
ABD istihbarat liderleri, Section 702 gözetim yetkisinin 18 aylık temiz uzatılmasından yana. Yetki 20 Nisan'da sona eriyor. CIA ve FBI direktörleri daha uzun süre istiyor.