EDR Killer

Diese Tools haben sich von theoretischen Konzepten und Nischenausnutzungstechniken zu praktischen, weit verbreiteten Methoden entwickelt, die von großen Ransomware-Gruppen eingesetzt werden. Aus Berichten der CISA geht hervor, dass die heutige Ransomware zunehmend EDR-Umgehungstools und -techniken bevorzugt. Ransomware-Gruppen wie Black Basta, Akira, Phobos, Play, ALPHV Black, Rhysida, Royal, AvosLocker, Snatch, LockBit 3.0, BianLian, Medusa und die neueren RansomHub und Embargo haben EDR-Killer oder ähnliche Methoden eingesetzt, um den EDR-Schutz zu umgehen.

Diese tückischen Werkzeuge sind keine Seltenheit mehr. EDR-Killer werden in Untergrundforen für weniger als 300 US-Dollar verkauft und gehören heute zum Arsenal von Ransomware-Gruppen. Von FIN7 bis Black Basta haben bekannte Bedrohungsakteure Tools wie AuKill als Waffe eingesetzt, um die Endpunktverteidigung zu untergraben und heimliche Erkundung, Seitwärtsbewegungen und Verschlüsselung zu ermöglichen. Die RansomHub Ransomware Group, mittlerweile die zweitaktivste Gruppe im Jahr 2024, hat das Tool EDRKillShifter eingesetzt, um Schutzmechanismen zu demontieren, während die Embargo Ransomware Group ihr maßgeschneidertes Tool MS4Killer verwendet, um den operativen Erfolg sicherzustellen.

Was bedeutet das für mittelständische Unternehmen?

Die Folgen sind schwerwiegende Betriebsunterbrechungen, eskalierende finanzielle Verluste und Reputationsschäden, die sich Unternehmen nicht leisten können. Durch das Ausschalten von EDR-Systemen unterdrücken Angreifer Warnungen, entziehen sich der Entdeckung und maximieren den Erfolg ihrer Kampagnen.

Aber es gibt noch Hoffnung. Sicherheitsexperten müssen jetzt handeln, indem sie die Erkennungsfunktionen verbessern, proaktive Maßnahmen ergreifen und eine 24/7-Überwachung implementieren. Die Bedrohung ist real, aber Unternehmen können Angreifern zuvorkommen und ihre digitalen Grenzen schnell und strategisch sichern.

Nicht zuletzt das BSI hat in seinem Lagebild IT-Sicherheit im vergangenen Jahr eindringlich vor der Bedrohung gewarnt. Die Behörde fasste die Gefährdungslage wie folgt zusammen: „Ziel solcher Software ist es, mit Hilfe von Signaturen und Verhaltensheuristiken im laufenden Systembetrieb Anomalien zu erkennen, zum Beispiel ob sich ein ausgeführtes Programm schädlich verhält. Angreifer versuchen auf unterschiedliche Weise, sich der Erkennung durch Antiviren- oder EDR-Software zu entziehen. Als „EDR-Killer“ werden Tools bezeichnet, die dazu dienen, auf einem kompromittierten System installierte EDR-Software zu beenden und wenn möglich zu entfernen.

EDR-Killer sind also eine hochentwickelte Kategorie von Schadsoftware, die darauf abzielt, die Sicherheitssysteme von EDR zu kompromittieren und zu beeinträchtigen. Durch eine Kombination aus fortschrittlichen Techniken und spezialisierten Tools setzen Bedrohungsakteure diese Malware ein, um kritische Sicherheitsinfrastrukturen systematisch zu neutralisieren oder zu beeinträchtigen, so dass die Systeme anfällig für weitere Angriffe sind.

Bring Your Own Vulnerable Driver (BYOVD)

Eine weit verbreitete Angriffstechnik ist der sogenannte Bring Your Own Vulnerable Driver (BYOVD). Böswillige Akteure nutzen Treiber häufig aus, um Betriebssysteme für unbefugte Kontrolle und böswillige Zwecke zu manipulieren. Ein Treiber ist eine wichtige Software-Brücke, die die Kommunikation zwischen dem Betriebssystem und Hardware-Geräten ermöglicht. Anstatt Anwendungen den direkten Kontakt mit Hardwarekomponenten zu ermöglichen, verwaltet das Betriebssystem diese Interaktionen über treibervermittelte Anfragen und gewährleistet so einen kontrollierten und standardisierten Gerätezugriff. Bei BYOVD versuchen Angreifer bekannte Schwachstellen in legitimen, aber veralteten oder unsicheren Gerätetreibern auszunutzen, indem sie diese auf das Zielsystem installieren, um ihre Rechte zu erweitern und EDR-Schutzmaßnahmen zu unterlaufen.

Ausnutzung der Windows Filtering Platform (WFP)

Eine weitere Strategie besteht darin, die Windows Filtering Platform (WFP) zu missbrauchen, eine Sammlung von APIs und Diensten zur Erstellung von Netzwerkfilter- und Sicherheitsanwendungen. Indem sie den EDR-bezogenen Datenverkehr behindern oder umleiten, können Angreifer den Fluss von Telemetriedaten oder Warnmeldungen an die EDR-Verwaltungskonsole unterbrechen. EDRSilencer verwendet beispielsweise WFP, um die ausgehende Kommunikation über IPv4- und IPv6-Protokolle zu blockieren und EDR-Systeme effektiv zum Schweigen zu bringen.

Deaktivieren von Protected Process Light (PPL) zur Umgehung von EDR

Protected Process Light (PPL) ist eine wichtige Windows-Sicherheitsfunktion, die in Windows 8.1 eingeführt wurde, um wichtige Systemprozesse vor Manipulationen oder Beendigung zu schützen. Dieser Mechanismus schützt sensible Dienste wie Antivirenlösungen und EDR-Systeme vor unbefugten Eingriffen. Angreifer haben jedoch Methoden entwickelt, um PPL zu entschärfen und damit seine Schutzfunktionen zu untergraben. Sobald der PPL-Schutz entschärft ist, können Angreifer problemlos EDR-Prozesse beenden oder auf sensible Speicherbereiche wie LSASS zugreifen, um Anmeldedaten zu extrahieren.

NTDLL Abkopplung

EDR-Systeme sind in hohem Maße auf User-Mode-Hooking angewiesen, um bösartiges Verhalten zu überwachen und abzufangen. Ein kritischer Bereich, auf den EDRs abzielen, ist die ntdll.dll-Bibliothek, die eine Brücke zwischen Anwendungen im Benutzermodus und dem Windows-Kernel schlägt. Durch das Hooking von Funktionen in ntdll.dll können EDRs Systemaufrufe von Anwendungen beobachten und analysieren und so potenzielle Bedrohungen wie Prozessinjektionen, Dateimanipulationen oder Speicherabzüge identifizieren. Dieser Hooking-Mechanismus ist wichtig, um verdächtige Aktivitäten in Echtzeit zu erkennen und abzuschwächen. Angreifer haben jedoch Techniken entwickelt, um diese Hooks zu entfernen, wobei das Unhooking von NTDLL eine bekannte Methode ist. Beim Unhooking werden die Funktionen der ntdll.dll-Bibliothek in ihren ursprünglichen, nicht eingehakten Zustand zurückversetzt, wodurch die Fähigkeit des EDR, diese Aufrufe zu überwachen, effektiv aufgehoben wird.

Direkte und indirekte Syscalls

Syscalls sind die Schnittstelle, über die Anwendungen im Benutzermodus mit dem Windows-Kernel interagieren und Vorgänge wie Dateizugriff und Prozessverwaltung ermöglichen. EDR-Systeme überwachen diese Syscalls, indem sie Funktionen in Bibliotheken wie ntdll.dll einklinken, um verdächtige Aktivitäten wie Speicherabzüge oder unautorisierte Dateizugriffe zu erkennen.

Angreifer umgehen die EDR-Überwachung durch direkte und indirekte Syscalls. Bei Ersteren rufen Angreifer Syscalls direkt im Kernel auf und umgehen dabei Benutzermodus-Bibliotheken wie ntdll.dll, wodurch EDR-Hooks umgangen werden. Bei indirekten Sycalls verwenden Angreifer weniger standardmäßige oder nicht überwachte Module, um diese auszuführen, und entgehen so der Erkennung weiter.

Diese Techniken zielen zwar nicht darauf ab, EDRs auszuschalten, ermöglichen es Angreifern jedoch, die Syscall-Überwachung zu umgehen, sich der Erkennung zu entziehen und bösartige Aktionen durchzuführen, ohne Alarme auszulösen.

Neun Handlungsempfehlungen zur Abwehr

Unternehmen müssen eine robuste Strategie für die Treibersicherheit einführen, die eine Echtzeitüberwachung der Treiber, die Überprüfung digitaler Signaturen, regelmäßige Updates und eine strenge Zulassungsliste für Treiber umfasst, um die Ausnutzung anfälliger Treiber zu verhindern.

Zero Trust stellt sicher, dass Angreifer selbst bei einer Kompromittierung von EDR-Systemen keinen uneingeschränkten Zugriff erhalten, indem sie eine strenge Identitätsüberprüfung durchsetzen und die Grundsätze der geringsten Berechtigung anwenden.

Eine „Defense-in-Depth“-Strategie integriert EDR, Firewalls, NDR, Virenschutz und Verhaltensanalyse miteinander, um eine umfassende Sicherheit zu gewährleisten, selbst wenn eine Ebene durchbrochen wird.

Um nach erfolgtem Angriff eine schnelle Wiederherstellung zu garantieren müssen klare Protokolle für die Reaktion auf Zwischenfälle sowie regelmäßige Tests und isolierte Backup-Systeme eingerichtet werden.

Zudem ist es wichtig, dass auf Endgeräten der Manipulationsschutz aktiviert ist. Regelmäßige Audits der Sicherheitseinstellungen und ein Überwachen dieser auf unbefugte Änderungen verhindert, dass Angreifer die Sicherheitskontrollen deaktivieren.

Die Durchsetzung von Driver Signature Enforcement (DSE) stellt sicher, dass nur von Microsoft signierte Treiber installiert werden und verhindert, dass bösartige oder nicht signierte Treiber auf dem System ausgeführt werden.

Mit Netzwerksegmentierung und Mikrosegmentierung werden kritische Systeme isoliert, seitliche Bewegungen von Angreifern eingeschränkt und mit Network Access Control (NAC) strenge Zugriffsrichtlinien durchgesetzt.

Eine Aufklärung der Benutzer über die Risiken erhöhter Privilegien und die Durchsetzung von Zugriffskontrollen mit geringsten Rechten, hindert Angreifer daran, administrative Rechte zur Beeinträchtigung von Sicherheitsmaßnahmen auszunutzen.

Durch regelmäßige Aktualisierungen von Systemen, Treibern und Software sowie Schwachstellenanalysen, werden Sicherheitsmängel behoben und das Risiko der Ausnutzung durch Angreifer verringert.

Fazit

Das Aufkommen von EDR-Killern stellt eine kritische Herausforderung für die Cybersicherheit von Unternehmen dar, da diese Tools gezielt auf EDR-Systeme abzielen und diese deaktivieren, was zu blinden Sicherheitslücken führt. Um sich gegen diese Bedrohungen zu schützen, sollten Unternehmen mehrschichtige Sicherheitsarchitekturen einführen, strenge Treibersignaturen durchsetzen und ihre Systeme regelmäßig aktualisieren.

Die Aufrechterhaltung der Sicherheit erfordert kontinuierliche Aktualisierungen der Sicherheitstools und Strategien zur Reaktion auf Vorfälle, damit Unternehmen diese ausgeklügelten Umgehungstechniken wirksam bekämpfen können. Durch die Umsetzung dieser Maßnahmen können Unternehmen das Risiko von Sicherheitsverstößen erheblich verringern.

These tools have evolved from theoretical concepts and niche exploitation techniques to practical, widespread methods used by large ransomware groups. CISA reports indicate that today’s ransomware increasingly favors EDR evasion tools and techniques. Ransomware groups such as Black Basta, Akira, Phobos, Play, ALPHV Black, Rhysida, Royal, AvosLocker, Snatch, LockBit 3.0, BianLian, Medusa, and the more recent RansomHub and Embargo have used EDR killers or similar methods to bypass EDR protection.

These malicious tools are no longer uncommon. EDR killers are sold on underground forums for less than $300 and are now part of the arsenal of ransomware groups. From FIN7 to Black Basta, known threat actors have weaponized tools like AuKill to undermine endpoint defenses and enable stealthy reconnaissance, lateral movement, and encryption. The RansomHub ransomware group, now the second most active group in 2024, has used the EDRKillShifter tool to dismantle defenses, while the Embargo ransomware group uses their custom tool MS4Killer to ensure operational success.

What does this mean for SMBs?

The consequences are serious business disruption, escalating financial losses and reputational damage that companies cannot afford. By disabling EDR systems, attackers can suppress alerts, avoid detection, and maximize the success of their campaigns.

But there is still hope. Security professionals must act now by improving detection capabilities, taking proactive measures, and implementing 24/7 monitoring. The threat is real, but organizations can stay ahead of attackers and secure their digital perimeters quickly and easily.

Last year, the German security agency BSI issued an urgent warning about the threat in its IT Security Situation Report. The agency summarized the threat situation as follows: „The goal of such software is to use signatures and behavioral heuristics to detect anomalies in ongoing system operation, for example, whether an executed program is behaving maliciously. Attackers try to evade detection by antivirus or EDR software in a variety of ways. EDR killers are tools used to terminate and, if possible, remove EDR software installed on a compromised system.

EDR killers are therefore a sophisticated category of malware designed to compromise and damage EDR security systems. Using a combination of advanced techniques and specialized tools, threat actors use this malware to systematically neutralize or compromise critical security infrastructure, leaving systems vulnerable to further attacks.

Bring Your Own Vulnerable Driver (BYOVD)

A common attack technique is known as Bring Your Own Vulnerable Driver (BYOVD). Malicious actors often exploit drivers to manipulate operating systems for unauthorized control and malicious purposes. A driver is a critical software bridge that enables communication between the operating system and hardware devices. Rather than allowing applications to contact hardware components directly, the operating system manages these interactions through driver-mediated requests, ensuring controlled and standardized device access. With BYOVD, attackers attempt to exploit known vulnerabilities in legitimate but outdated or insecure device drivers by installing them on the target system to escalate privileges and bypass EDR protections.

Exploiting the Windows Filtering Platform (WFP)

Another strategy is to exploit the Windows Filtering Platform (WFP), a collection of APIs and services for building network filtering and security applications. By blocking or redirecting EDR-related traffic, attackers can disrupt the flow of telemetry or alerts to the EDR management console. For example, EDRSilencer uses WFP to block outbound communications over IPv4 and IPv6 protocols, effectively silencing EDR systems.

Windows Filtering Platform (WFP) Exploitation

Another strategy is to exploit the Windows Filtering Platform (WFP), a collection of APIs and services for building network filtering and security applications. By blocking or redirecting EDR-related traffic, attackers can disrupt the flow of telemetry or alerts to the EDR management console. For example, EDRSilencer uses WFP to block outbound communications over IPv4 and IPv6 protocols, effectively silencing EDR systems.

Disable Protected Process Light (PPL) to bypass EDR

Protected Process Light (PPL) is an important Windows security feature introduced in Windows 8.1 that protects critical system processes from tampering or termination. This mechanism protects sensitive services, such as antivirus solutions and EDR systems, from unauthorized tampering. However, attackers have developed methods to disable PPL and thus undermine its protections. Once the PPL protection is weakened, attackers can easily terminate EDR processes or access sensitive memory areas such as LSASS to extract credentials.

NTDLL Decoupling

EDR systems rely heavily on user-mode hooking to monitor and intercept malicious behavior. A critical area targeted by EDRs is the ntdll.dll library, which provides a bridge between user-mode applications and the Windows kernel. By hooking functions into ntdll.dll, EDRs can monitor and analyze application system calls to identify potential threats such as process injections, file manipulation, or memory dumps. This hooking mechanism is important for detecting and mitigating suspicious activity in real time. However, attackers have developed techniques to remove these hooks, and unhooking NTDLL is a well-known method. Unhooking returns the ntdll.dll library functions to their original, unhooked state, effectively removing EDR’s ability to monitor these calls.

Direct and Indirect System Calls

Syscalls are the interface through which user-mode applications interact with the Windows kernel, enabling operations such as file access and process management. EDR systems monitor these syscalls by hooking functions into libraries such as ntdll.dll to detect suspicious activity such as memory dumps or unauthorized file access.

Attackers bypass EDR monitoring through direct and indirect syscalls. In the former, attackers invoke syscalls directly in the kernel, bypassing user-mode libraries such as ntdll.dll, which bypasses EDR hooks. With indirect syscalls, attackers use less standard or unmonitored modules to execute them, further evading detection.

While these techniques are not intended to disable EDRs, they allow attackers to bypass syscall monitoring, avoid detection, and perform malicious actions without triggering alerts.

Nine recommended defensive actions

Organizations must implement a robust driver security strategy that includes real-time driver monitoring, digital signature verification, regular updates, and a strict driver approval list to prevent exploitation of vulnerable drivers.

Zero Trust ensures that even if EDR systems are compromised, attackers do not gain unrestricted access by enforcing strong identity verification and applying the principles of least privilege.

A defense-in-depth strategy integrates EDR, firewalls, NDR, antivirus, and behavioral analytics to ensure comprehensive security even if one layer is breached.

Clear incident response protocols, regular testing, and isolated backup systems must be in place to ensure rapid recovery from an attack.

It is also important that tamper protection is enabled on endpoints. Regularly auditing security settings and monitoring for unauthorized changes prevents attackers from overriding security controls.

Driver Signature Enforcement (DSE) ensures that only Microsoft-signed drivers are installed and prevents malicious or unsigned drivers from running on the system.

Network segmentation and micro-segmentation isolate critical systems, restrict lateral movement of attackers, and enforce strict access policies with Network Access Control (NAC).

Educating users about the risks of elevated privileges and enforcing least privilege access controls prevents attackers from exploiting administrative privileges to compromise security measures.

Regular system, driver, and software updates, as well as vulnerability assessments, eliminate security vulnerabilities and reduce the risk of exploitation by attackers.

Conclusion

The emergence of EDR killers poses a critical cybersecurity challenge for organizations because these tools specifically target and disable EDR systems, creating blind security holes. To protect against these threats, organizations should implement layered security architectures, enforce strict driver signatures, and regularly update their systems.

Maintaining security requires continuous updates to security tools and incident response strategies so that organizations can effectively combat these sophisticated evasion techniques. By implementing these measures, organizations can significantly reduce the risk of security breaches.