EnCase jako „EDR killer”: jak stary sterownik z EnCase pomaga wyłączać ochronę endpointów (BYOVD) - Security Bez Tabu

EnCase jako „EDR killer”: jak stary sterownik z EnCase pomaga wyłączać ochronę endpointów (BYOVD)

Wprowadzenie do problemu / definicja luki

Ataki typu EDR killer to narzędzia, których celem jest „oślepienie” organizacji tuż przed kolejnymi etapami włamania (np. wdrożeniem ransomware) poprzez zatrzymanie procesów i usług ochronnych. Coraz częściej odbywa się to nie w user-mode, ale z poziomu jądra systemu Windows – poprzez technikę BYOVD (Bring Your Own Vulnerable Driver), czyli dostarczenie legalnie podpisanego, lecz podatnego sterownika i wykorzystanie go jako „taranu” na zabezpieczenia.

Najnowszy przykład z początku lutego 2026 r. dotyczy sterownika z narzędzia śledczego Guidance Software EnCase: mimo że jego certyfikat dawno wygasł i został cofnięty, w praktyce nadal może zostać załadowany w systemie Windows, a napastnicy używają go do ubijania komponentów EDR/AV z poziomu kernela.

W skrócie

  • Atakujący uzyskali dostęp przez skompromitowane dane logowania SonicWall SSLVPN i przeszli do intensywnego rozpoznania sieci.
  • Następnie uruchomili „EDR killera”, który zawierał w sobie sterownik EnCase i podszywał się pod narzędzie aktualizacji firmware.
  • Sterownik zapewniał mechanizm (IOCTL), dzięki któremu proces w user-mode mógł zlecać terminację dowolnych procesów z kernela, omijając typowe mechanizmy ochronne.
  • Incydent został przerwany przed ransomware, ale pokazuje, że „stare podpisy” i luki w egzekwowaniu polityk sterowników nadal tworzą realny wektor ataku.

Kontekst / historia / powiązania

Trend „EDR killerów” rośnie, bo jest skuteczny: jeśli napastnik zdobędzie uprawnienia administracyjne, próba wyłączenia EDR staje się naturalnym krokiem przed eksfiltracją i szyfrowaniem. Branża obserwuje coraz większą różnorodność takich narzędzi oraz użycie BYOVD jako metody wejścia do kernela.

W tym konkretnym przypadku kluczowy jest problem z dziedziczeniem zaufania: sterowniki podpisane dawno temu (zwłaszcza w okolicach wyjątków od współczesnych wymogów podpisywania) bywają dla atakujących atrakcyjne, bo pozwalają ominąć nowsze bramki weryfikacyjne. Dark Reading opisuje, że napastnicy celują w sterowniki podpisane przed 29 lipca 2015 r. i – gdy trzeba – próbują nawet fałszować „czas” (timestamping), by wyglądało, że podpis powstał przed graniczną datą.

Analiza techniczna / szczegóły luki

1) Łańcuch ataku (wysoki poziom)

W opisywanym incydencie (telemetria i analiza Huntress):

  1. Initial access: logowanie do SonicWall SSLVPN skradzionymi danymi.
  2. Discovery/Recon: agresywne rozpoznanie (m.in. ping sweep, NetBIOS/SMB, zachowania typu SYN flood w telemetryce IPS).
  3. Defense evasion: uruchomienie droppera/loadera EDR killera podszywającego się pod legalne narzędzie.
  4. Kernel foothold (BYOVD): zapis sterownika na dysk, rejestracja jako usługa sterownika i ładowanie w systemie.

2) Co daje sterownik EnCase napastnikowi?

Z punktu widzenia obrony najważniejsze jest to, że po załadowaniu sterownika:

  • sterownik udostępnia interfejs IOCTL,
  • a część user-mode może zlecać operacje, które skutkują terminacją procesów z poziomu jądra.
    To omija typowe „miękkie” zabezpieczenia i utrudnia obronę samymi kontrolami w user-mode.

3) Maskowanie i utrzymanie

W relacjach z analizy ataku przewija się klasyczny zestaw trików:

  • ścieżki i nazwy sugerujące komponent OEM/systemowy,
  • ukrywanie pliku,
  • kopiowanie timestampów z legalnych plików systemowych,
  • rejestracja sterownika jako usługi dla persistencji po restarcie.

Praktyczne konsekwencje / ryzyko

  1. Utrata widoczności: gdy EDR/AV padają, tracisz telemetrykę w krytycznym momencie.
  2. Przyspieszenie ransomware: EDR killer często jest krokiem bezpośrednio przed egzekucją szyfratora (tu akurat atak przerwano, ale schemat jest klasyczny).
  3. Ryzyko „false sense of security”: organizacje mogą zakładać, że cofnięty/wycofany certyfikat „załatwia temat”, a praktyka pokazuje, że sterownik może nadal zostać użyty w BYOVD.
  4. Ryzyko operacyjne blokad: twarde blokowanie legalnych sterowników bywa trudne, bo może destabilizować środowisko (crashe/kompatybilność).

Rekomendacje operacyjne / co zrobić teraz

Poniżej podejście „warstwowe” – bo jeden mechanizm zwykle nie wystarcza:

Kontrole Windows / polityki wykonania

  • WDAC (Windows Defender Application Control): rozważ politykę allowlist dla sterowników w środowiskach o wyższym rygorze (serwery, stacje uprzywilejowane).
  • Włącz/zweryfikuj mechanizmy, które utrudniają ładowanie niepożądanych driverów (w tym reguły/konfiguracje od producenta EDR, jeśli oferuje „driver block”).

Wykrywanie i polowanie

  • Monitoruj zdarzenia związane z:
    • instalacją/usługami sterowników,
    • nietypowymi lokalizacjami driverów,
    • procesami, które zapisują .sys i natychmiast rejestrują service.
      ESET wprost rekomenduje „blokowanie podatnych sterowników” oraz podejście „detect-first”, by ograniczyć ryzyko fałszywych blokad.

Higiena dostępu (najtańsza i najskuteczniejsza część)

  • Jeśli masz SSLVPN: MFA bez wyjątków, twarde polityki haseł, monitoring anomalii logowań. W opisywanym przypadku wejście zaczęło się od poświadczeń VPN.
  • Segmentacja + zasada najmniejszych uprawnień: BYOVD zwykle pojawia się po zdobyciu uprawnień admina.

Reakcja (gdy podejrzewasz BYOVD/EDR killer)

  • Izoluj hosty, zbieraj artefakty (ścieżki .sys, rejestracje usług, binaria podszywające się pod updater).
  • Traktuj to jak sygnał „jesteśmy po eskalacji” – dalsze kroki atakującego mogą być szybkie.

Różnice / porównania z innymi przypadkami

  • „EDR killer user-mode” vs BYOVD: proste killery próbują ubijać procesy standardowymi API; BYOVD przenosi ciężar do kernela, gdzie mechanizmy ochrony procesów (w praktyce) często łatwiej obejść.
  • Stary legalny driver vs świeży złośliwy driver: w opisywanym schemacie przewagą jest „dziedziczona wiarygodność” podpisu i kompatybilność ładowania (w pewnych warunkach), zamiast ryzykownego wprowadzania nowego sterownika wymagającego przejścia nowszych kontroli.

Podsumowanie / kluczowe wnioski

  • BYOVD pozostaje jedną z najskuteczniejszych metod „oślepiania” obrony endpointów.
  • Przypadek EnCase pokazuje, że stare, legalne sterowniki mogą zostać ponownie „odkurzone” i użyte ofensywnie – nawet jeśli ich certyfikat jest historycznie cofnięty.
  • Najważniejsze działania obronne to: zabezpieczenie dostępu zdalnego (VPN + MFA), twarde polityki sterowników (WDAC/allowlist tam, gdzie to realne) oraz detekcje na nietypowe ładowanie driverów i rejestracje usług.

Źródła / bibliografia

  1. Dark Reading – EnCase Driver Weaponized as EDR Killers Persist (Dark Reading)
  2. Huntress – They Got In Through SonicWall. Then They Tried to Kill Every Security Tool (Huntress)
  3. Help Net Security – Why a decade-old EnCase driver still works as an EDR killer (Help Net Security)
  4. CSO Online – Attackers exploit decade-old Windows driver flaw to shut down modern EDR defenses (CSO Online)
  5. ESET – EDR killers get popular. Here is how to stop them. (ESET)