Суть техники заключается в следующем: хакеры регистрируются на бесплатный пробный период какого-либо EDR, устанавливают его на целевую систему с правами администратора и настраивают так, чтобы он блокировал или удалял уже установленный легитимный EDR, например CrowdStrike. «При этом часто не срабатывает никакая защита, установленные агенты прекращают работу и теряют связь с SOC, что создаёт иллюзию нормального статуса системы (offline), хотя на самом деле защитный слой отключён», — пояснил Жданухин.
Эксперт добавил, что похожие методы были зафиксированы при атаках таких известных группировок, как RansomHub, Play и Medusa. Они использовали уязвимые драйверы и инструменты вроде EDRKillShifter для убийства EDR, после чего разворачивали малвари с минимальными шансами быть обнаруженными. «Это демонстрирует, что слепое доверие к стандартным EDR/XDR-платформам может обернуться серьёзной уязвимостью для организаций, особенно когда локальные админ-права позволяют злоумышленнику манипулировать поведением средств безопасности», — подчеркнул руководитель группы аналитики L1 GSOC.
Он добавил, что GSOC компании «Газинформсервис» предлагает принципиально иной уровень защиты, нацеленный на проактивное обнаружение подобных манипуляций:
— во-первых, SOC моделирует сценарии «борьбы EDR с EDR»: анализируются нестандартные установки новых защитных продуктов, неожиданные исключения или блокировки известных агентов, а также резкое падение телеметрии с рабочих станций.
— во-вторых, посредством правил корреляции выявляются установки EDR‑агентов, особенно если они запускаются несогласованно с IT‑направлением организации. При обнаружении подозрительной активности — будь то запуск неизвестного установщика, изменение настроек уже установленного EDR или отключение агента, — GSOC инициирует изоляцию устройства, уведомляет ответственных и запускает процесс реагирования.
«Таким образом, — заключил эксперт, — даже если злоумышленник попытался использовать легитимный инструмент безопасности в своих целях, GSOC способен перехватить сценарий ещё до того, как вредоносная активность выйдет из-под контроля».