54 narzędzi do wyłączania EDR wykorzystuje BYOVD do exploitacji 34 podpisanych podatnych sterowników i wyłączenia zabezpieczeń

Świat cyberbezpieczeństwa stanął przed problemem, który wydawał się już rozwiązany. 54 różnych narzędzi do eliminacji systemów EDR (Endpoint Detection and Response) wykorzystuje technikę BYOVD — „przynieś swój własny podatny sterownik" — aby wyłączyć ochronę bezpieczeństwa na komputerach ofiar. To nie jest już marginalny problem dla specjalistów z wąskiego grona. To zagrożenie, które systematycznie zmienia krajobraz ataków ransomware'owych na całym świecie, a polski rynek bezpieczeństwa musi się do niego przygotować.

Analiza przeprowadzona przez ekspertów z branży ujawniła coś niepokojącego: przestępcy nie tworzą nowych narzędzi do atakowania systemów ochrony. Zamiast tego rekrutują stare, zapomniane sterowniki systemowe — 34 legalnych, podpisanych cyfrowo sterowników — które zawierają podatności. Te sterowniki, zainstalowane latami temu na milionach komputerów, stały się uniwersalnym kluczem do wyłączenia najnowocześniejszych systemów bezpieczeństwa. To jest bezpośrednia konsekwencja braku współpracy między producentami sprzętu a firmami zajmującymi się bezpieczeństwem.

Dla polskich organizacji, szczególnie tych zarządzających wrażliwymi danymi lub infrastrukturą krytyczną, wiadomość jest jasna: tradycyjne podejście do ochrony kończy się. Systemy EDR, które przez lata stanowiły ostatnią linię obrony przed ransomware'em, mogą być neutralizowane przez atakujących, którzy posiadają jedynie dostęp do publicznych informacji o podatnościach i umiejętność zainstalowania starych sterowników. Czas na fundamentalną zmianę strategii bezpieczeństwa.

Jak BYOVD stał się bronią masowego zniszczenia w rękach cyberprzestępców

Technika BYOVD nie jest nowa — specjaliści z zakresu bezpieczeństwa mówią o niej od co najmniej kilku lat. Jednak jej popularność wśród grup ransomware'owych wzrosła wykładniczo w ostatnich dwóch latach. Koncepcja jest prosta i genialna w swojej prostocie: zamiast opracowywać własne exploity zero-day lub nielegalne narzędzia, atakujący szukają starych sterowników systemowych, które mają znaną podatność. Sterowniki te są podpisane cyfrowo przez producentów, co oznacza, że system Windows uznaje je za legalne i pozwala im działać z najwyższymi uprawnieniami.

W praktyce oznacza to, że gdy cyberprzestępca zyska dostęp do sieci ofiary — zwykle poprzez phishing, podatność w aplikacji internetowej lub słabe hasło — może zainstalować jeden z tych starych sterowników. System operacyjny nie podnosi żadnych flag ostrzegawczych, ponieważ sterownik ma prawidłowy podpis. Następnie atakujący wykorzystuje podatność w sterownikowi, aby uzyskać dostęp do jądra systemu (kernel-level access). Z tego poziomu może wyłączyć praktycznie każdy system bezpieczeństwa — antywirus, EDR, firewall — zanim zainstaluje ransomware.

Co jest szczególnie niebezpieczne, to fakt, że 34 podatne sterowniki pochodzą od uznanych producentów — firm takich jak MSI, ASUS, Gigabyte i inne. Są to sterowniki dla kart graficznych, płyt głównych, systemów chłodzenia. Przeciętny użytkownik nigdy nie pomyśli, że sterownik od producenta sprzętu może być narzędziem ataku. Te sterowniki leżą w repozytoriach, są dostępne publicznie, a ich podatności są dokumentowane w bazach CVE (Common Vulnerabilities and Exposures). Atakujący nie muszą być geniuszami — wystarczy im dostęp do Internetu i podstawowa wiedza o systemach Windows.

54 narzędzia EDR Killers — od małych skryptów do zaawansowanych pakietów

Liczba 54 różnych narzędzi do eliminacji EDR może wydawać się zaskakująca, ale gdy się spojrzy na to bliżej, staje się zupełnie zrozumiałe. W ekosystemie cyberprzestępczości nie ma jednego standardu. Różne grupy ransomware'owe, różne operacje, różne poziomy zaawansowania — każdy tworzy lub adaptuje narzędzia dostosowane do swoich potrzeb. Niektóre z tych 54 narzędzi to zaawansowane pakiety z interfejsem graficznym, inne to proste skrypty PowerShell, które można uruchomić w kilka sekund.

Wśród nich znajdują się narzędzia takie jak Terminator, KDmapper i Mimidrv — każde z nich znane jest w kręgach bezpieczeństwa, ale nadal aktywnie wykorzystywane. Ich popularność wynika z prostej matematyki: koszt rozwoju nowego narzędzia jest wysoki, a ryzyko wykrycia przez dostawców bezpieczeństwa jest znaczne. Dlaczego tworzyć coś nowego, gdy można dostosować istniejące rozwiązanie do nowych podatności? To jest mentalność, która napędza ten ekosystem.

Polskie organizacje muszą zrozumieć, że każde z tych 54 narzędzi stanowi potencjalne zagrożenie. Nie chodzi o to, że wszystkie będą używane przeciwko polskim firmom — ale każde może być. Grupy ransomware'owe takie jak LockBit, BlackCat czy Alphv nie działają w próżni. Wymieniają się narzędziami, kopiują techniki, adaptują strategie. Jeśli narzędzie EDR Killer działa w Niemczech, będzie testowane w Polsce. Jeśli działa w Polsce, będzie używane w Czechach.

Podpisane sterowniki jako Trojan Horse współczesności

Jedna z największych ironii współczesnego bezpieczeństwa to fakt, że podpis cyfrowy — mechanizm stworzony do ochrony przed złośliwym oprogramowaniem — stał się narzędziem atakujących. Gdy Microsoft i inne producenci wdrażali systemy podpisywania kodu, celem było zapewnienie, że użytkownik instaluje oprogramowanie od zaufanego źródła. Ale systemy te nie uwzględniały jednego problemu: co jeśli zaufane źródło (producent sprzętu) tworzy oprogramowanie z podatnościami?

Podatności w sterownikach często nie są wynikiem złej woli — to po prostu błędy w kodzie, które producenci nie wychwycili podczas testowania. Mogą to być problemy z walidacją danych wejściowych, błędy buffer overflow, problemy z kontrolą dostępu. Wiele z tych podatności istnieje od lat, zanim zostanie odkryta. Producenci wydają poprawki, ale miliony komputerów nigdy ich nie instaluje. Dla atakujących to idealna sytuacja: stary sterownik, znana podatność, publiczny exploit.

Polska branża IT musi zdać sobie sprawę, że nie można polegać na samym systemie podpisywania kodu. Wiele organizacji nie aktualizuje sterowników przez lata — pracownicy IT są zbyt zajęci, a sterowniki "i tak działają". To jest dokładnie to, czego potrzebują atakujący. Każdy niezaktualizowany sterownik to potencjalna brama do systemu.

Dlaczego EDR przestaje być wystarczającą linią obrony

Przez ostatnią dekadę EDR stał się święto Graałem bezpieczeństwa. Organizacje inwestowały miliony złotych w zaawansowane systemy EDR, wierzą, że chronią je przed najnowszymi zagrożeniami. EDR to rzeczywiście potężne narzędzie — może wykrywać anomalije w zachowaniu procesów, analizować łańcuchy ataku, a nawet automatycznie izolować zainfekowane maszyny. Ale EDR ma fundamentalną słabość: działa na poziomie użytkownika (user-mode), podczas gdy atakujący mogą pracować na poziomie jądra (kernel-mode).

Gdy atakujący uzyska dostęp kernel-mode poprzez podatny sterownik, EDR staje się praktycznie bezużyteczny. To jest jak posiadanie świetnego alarmu w domu, ale złodziej ma klucz do systemu elektrycznego alarmu. EDR może widzieć to, co dzieje się na poziomie użytkownika, ale nie może widzieć lub kontrolować tego, co dzieje się na poziomie jądra. Atakujący może wyłączyć EDR, usunąć jego procesy, zablokować jego komunikację z serwerem — wszystko to z poziomu jądra.

To oznacza, że organizacje, które stawiały całą nadzieję na EDR, muszą teraz przebudować swoją strategię obronną. EDR nadal jest ważny, ale musi być częścią wielowarstwowego podejścia. Bez tego, organizacje są narażone na ten sam typ ataku, który przyniósł straty sięgające miliardów złotych dla polskich firm w ciągu ostatnich kilku lat.

Przesunięcie paradygmatu: od ochrony perimetrów do ochrony dostępu

Jeśli tradycyjny EDR nie wystarczy, co powinny robić organizacje? Odpowiedź leży w fundamentalnej zmianie podejścia do bezpieczeństwa. Zamiast stawiać na ochronę po wniknięciu atakującego do sieci — co jest coraz trudniejsze — organizacje muszą skupić się na kontroli dostępu i minimalizacji powierzchni ataku. To jest przesunięcie od modelu "obronę perimetr, a potem zaufaj wszystkiemu w środku" do modelu "nigdy nie ufaj, zawsze weryfikuj".

Podejście Zero Trust Network Access (ZTNA) staje się niezbędnym elementem nowoczesnej strategii bezpieczeństwa. Zamiast tradycyjnych sieci VPN, które dają użytkownikowi dostęp do całej sieci korporacyjnej (i tym samym całą powierzchnię ataku), ZTNA pozwala użytkownikom połączyć się bezpośrednio z aplikacjami, które im potrzebne. Każde połączenie jest weryfikowane, każdy użytkownik jest autentykowany, każdy dostęp jest zalogowany.

Dla polskich organizacji, szczególnie tych, które wdrażają pracę hybrydową, ZTNA oferuje znacznie lepszą ochronę niż tradycyjne VPN. Pracownik pracujący z domu nie ma dostępu do całej sieci — ma dostęp tylko do aplikacji, które mu potrzebne. Jeśli jego komputer zostanie zainfekowany ransomware'em, atakujący nie może się poruszać lateralnie po sieci, bo nie ma dostępu do innych systemów. To jest fundamentalna zmiana w modelu bezpieczeństwa.

Polska infrastruktura i zagrożenie BYOVD — analiza ryzyka

Polska branża IT i bezpieczeństwa stoi przed specyficznym wyzwaniem. Wiele polskich organizacji, szczególnie średnich przedsiębiorstw i instytucji publicznych, działa na starszym sprzęcie. Komputery, które były nowoczesne pięć lat temu, nadal działają w produkcji. Sterowniki do tego sprzętu nigdy nie były aktualizowane. To jest idealne środowisko dla ataków BYOVD.

Dodatkowo, polska branża ma tradycję niskiego budżetu na bezpieczeństwo IT. Organizacje często wybierają najtańsze rozwiązania EDR zamiast bardziej zaawansowanych platform. To oznacza, że gdy atakujący wyłączy EDR poprzez BYOVD, organizacja pozostaje praktycznie bez obrony. Brak wielowarstwowego podejścia do bezpieczeństwa, brak ZTNA, brak mikrosegmentacji sieci — to są typowe charakterystyki polskiego krajobrazu bezpieczeństwa.

Grupy ransomware'owe wiedzą o tym. Polska jest postrzegana jako cel o średnim ryzyku i wysokim potencjale zysku. Firmy mają pieniądze, ale nie inwestują wystarczająco w bezpieczeństwo. To jest kombinacja, która przyciąga atakujących. W ciągu ostatnich dwóch lat polskie firmy poniosły straty sięgające dziesiątek milionów złotych z powodu ataków ransomware'owych, które mogłyby być zapobieżone poprzez prawidłowe zarządzanie sterownikami i wielowarstwową obronę.

Praktyczne kroki: jak się bronić przed BYOVD

Choć zagrożenie jest rzeczywiste, organizacje mają narzędzia do obrony. Pierwszym i najważniejszym krokiem jest inwentaryzacja i zarządzanie sterownikami. Każda organizacja powinna wiedzieć, jakie sterowniki są zainstalowane na każdym komputerze. To nie jest zadanie dla małych firm, ale dla średnich i dużych organizacji jest to absolutnie niezbędne. Narzędzia takie jak Microsoft Intune, Jamf lub inne systemy zarządzania urządzeniami mogą automatycznie zbierać informacje o sterownikach.

Drugim krokiem jest wdrożenie polityki aktualizacji sterowników. Organizacje muszą regularnie aktualizować sterowniki, szczególnie dla sprzętu, który ma znane podatności. Microsoft utrzymuje listę podatnych sterowników — organizacje powinny regularnie sprawdzać tę listę i usuwać lub aktualizować sterowniki, które się na niej znajdują.

Trzecim krokiem jest wdrożenie ochrony kernel-mode. Zamiast polegać tylko na EDR działającym na poziomie użytkownika, organizacje powinny wdrożyć rozwiązania, które chronią jądro systemu. Technologie takie jak Hypervisor-Protected Code Integrity (HVCI) w Windows mogą zapobiec załadowaniu złośliwych sterowników. Choć nie są idealne, mogą znacznie utrudnić atakującym pracę.

Czwartym krokiem jest wdrożenie ZTNA i mikrosegmentacji. Nawet jeśli atakujący zyska dostęp do jednego komputera, nie powinien mieć dostępu do całej sieci. ZTNA i mikrosegmentacja ograniczają ruch lateralny i zmuszają atakującego do dodatkowych kroków, aby osiągnąć cel.

Przyszłość bezpieczeństwa: nie można wygrać tylko obroną

Ostateczna lekcja z analizy 54 narzędzi EDR Killer i 34 podatnych sterowników jest taka: tradycyjny model bezpieczeństwa — budowanie coraz wyższych murów — nie działa. Atakujący zawsze znajdą sposób, aby przebić mur. Zamiast tego, organizacje muszą przejść na model, w którym zakładają, że atakujący już są wewnątrz sieci, i skupiają się na tym, aby ograniczyć to, co mogą zrobić.

Dla polskiego rynku IT i bezpieczeństwa to oznacza fundamentalną zmianę w sposobie myślenia. Inwestycje w ZTNA, mikrosegmentację, zarządzanie tożsamością i dostępem, a także ciągłe monitorowanie i audyty muszą stać się normą, a nie wyjątkiem. Organizacje, które będą szybko adaptować się do tego nowego paradygmatu, będą chronione. Te, które będą trzymać się starego modelu obrony perimetrów, będą coraz bardziej narażone.

Cyberprzestępcy nie będą czekać. Liczba narzędzi EDR Killer będzie rosnąć. Liczba podatnych sterowników będzie rosnąć. Ataki będą stawać się bardziej zaawansowane. Polska branża musi działać teraz, aby przygotować się na to, co czeka.