54 EDR Killers Manfaatkan BYOVD untuk Eksploitasi 34 Driver Rentan dan Nonaktifkan Keamanan

54 EDR Killers terbaru terungkap memanfaatkan teknik bring your own vulnerable driver (BYOVD) dengan mengeksploitasi 34 driver rentan yang telah ditandatangani secara resmi. Teknik ini memungkinkan para pelaku ancaman mendapatkan akses tingkat kernel untuk menonaktifkan sistem keamanan sebelum melancarkan malware pengunci file (ransomware).

EDR Killers dan Perannya dalam Serangan Ransomware

Program EDR killers telah menjadi alat umum dalam intrusi ransomware. Mereka digunakan oleh afiliasi ransomware untuk menetralkan perangkat lunak keamanan terlebih dahulu agar malware enkripsi file dapat berjalan tanpa terdeteksi. Dengan cara ini, para pelaku berupaya menghindari deteksi oleh solusi keamanan endpoint.

Jakub Souček, peneliti dari ESET, menjelaskan, "Grup ransomware, khususnya yang menggunakan model ransomware-as-a-service (RaaS), sering merilis versi baru dari encryptor mereka, dan memastikan setiap versi tidak terdeteksi membutuhkan waktu yang cukup lama. Lebih penting lagi, encryptor itu sendiri sangat berisik karena harus memodifikasi banyak file dalam waktu singkat, sehingga sulit untuk tidak terdeteksi."

EDR killers berfungsi sebagai komponen khusus yang dijalankan untuk mematikan kontrol keamanan sebelum menjalankan malware pengunci file. Hal ini membuat modul ransomware lebih sederhana, stabil, dan mudah dikembangkan ulang. Meski ada kasus di mana modul penghancuran EDR dan ransomware digabungkan ke dalam satu file, seperti pada ransomware Reynolds.

Teknik BYOVD dan Eksploitasi Driver Rentan

Sebagian besar EDR killers menggunakan driver yang sah tetapi rentan untuk mendapatkan hak istimewa tingkat kernel (Ring 0) dan mencapai tujuan mereka. Dari hampir 90 alat EDR killer yang ditemukan oleh perusahaan keamanan siber asal Slovakia ini, lebih dari setengahnya menggunakan teknik BYOVD karena keandalannya.

"Tujuan serangan BYOVD adalah untuk mendapatkan hak istimewa mode kernel, sering disebut Ring 0," jelas Bitdefender. "Pada level ini, kode memiliki akses tanpa batas ke memori sistem dan perangkat keras. Karena penyerang tidak bisa memuat driver berbahaya yang tidak ditandatangani, mereka membawa driver yang sudah ditandatangani oleh vendor terpercaya (seperti produsen perangkat keras atau versi antivirus lama) yang memiliki kerentanan yang diketahui."

Dengan akses kernel ini, pelaku bisa menghentikan proses EDR, menonaktifkan alat keamanan, mengubah callback kernel, dan mengeksploitasi model kepercayaan driver Microsoft untuk menghindari pertahanan. Hal ini memungkinkan mereka memanfaatkan fakta bahwa driver tersebut resmi dan ditandatangani.

Tipe Pelaku dan Variasi Alat EDR Killers

Menurut ESET, EDR killers berbasis BYOVD dikembangkan oleh tiga tipe pelaku utama:

• Grup ransomware tertutup seperti DeadLock dan Warlock yang tidak bergantung pada afiliasi.
• Penyerang yang mengubah kode bukti konsep yang sudah ada, contohnya SmilingKiller dan TfSysMon-Killer.
• Penjahat siber yang menjual alat ini di pasar gelap sebagai layanan, misalnya DemoKiller (juga dikenal sebagai Бафомет), ABYSSWORKER, dan CardSpaceKiller.

ESET juga mengidentifikasi alat berbasis skrip yang menggunakan perintah administratif bawaan Windows seperti taskkill, net stop, atau sc delete untuk mengganggu proses dan layanan keamanan. Beberapa varian bahkan mengombinasikan skrip dengan mode Aman Windows.

"Karena mode Aman hanya memuat subset minimal sistem operasi, dan solusi keamanan biasanya tidak aktif, malware memiliki peluang lebih besar untuk menonaktifkan perlindungan," kata ESET. "Namun metode ini sangat berisik karena membutuhkan reboot, yang berisiko dan tidak dapat diandalkan di lingkungan yang tidak dikenal."

Kategori ketiga adalah anti-rootkit, termasuk utilitas sah seperti GMER, HRSword, dan PC Hunter yang menyediakan antarmuka mudah untuk menghentikan proses atau layanan yang terlindungi. Sedangkan kategori keempat yang mulai muncul adalah EDR killers tanpa driver seperti EDRSilencer dan EDR-Freeze yang memblokir lalu lintas keluar dari solusi EDR sehingga program menjadi tidak responsif.

Strategi Pertahanan dan Implikasi untuk Organisasi

ESET menegaskan bahwa pelaku serangan tidak terlalu fokus membuat encryptor mereka tidak terdeteksi. Sebaliknya, teknik penghindaran deteksi yang rumit lebih banyak diterapkan di komponen user-mode dari EDR killers, terutama pada versi komersial yang memiliki fitur anti-analisis dan anti-deteksi yang matang.

Untuk melawan ransomware dan EDR killers, organisasi perlu memblokir driver yang sering disalahgunakan agar tidak dimuat. Namun, karena EDR killers dijalankan pada tahap akhir sebelum malware mengunci file, kegagalan deteksi pada tahap ini memungkinkan pelaku dengan mudah beralih ke alat lain yang serupa.

Oleh karena itu, organisasi harus menerapkan pertahanan berlapis dan strategi deteksi yang mampu memantau, menandai, mengendalikan, dan mengatasi ancaman pada setiap tahapan siklus serangan.

"EDR killers bertahan karena mereka murah, konsisten, dan terpisah dari encryptor — cocok untuk pengembang encryptor yang tidak perlu fokus membuat malware mereka tidak terdeteksi, dan afiliasi yang membutuhkan alat mudah digunakan dan kuat untuk mengganggu pertahanan sebelum enkripsi," ujar ESET.

Analisis Redaksi

Menurut pandangan redaksi, fenomena 54 EDR killers yang memanfaatkan BYOVD menandai eskalasi kecanggihan serangan ransomware terkini yang semakin mengandalkan eksploitasi kelemahan dalam sistem keamanan Windows. Dengan memanfaatkan driver resmi namun rentan, penyerang mampu menembus pertahanan yang selama ini dianggap cukup kuat.

Hal ini menunjukkan bahwa pendekatan keamanan tradisional yang hanya mengandalkan tanda tangan digital dan whitelist driver sudah tidak cukup. Organisasi perlu memperkuat keamanan endpoint dengan teknologi deteksi perilaku, pemantauan kernel yang ketat, serta pembaruan patch keamanan secara rutin untuk mengurangi risiko eksploitasi.

Ke depan, penting untuk mengawasi perkembangan teknik EDR killers yang mungkin akan semakin terintegrasi dengan metode serangan lainnya dan memanfaatkan celah dari sistem operasi yang belum diperbaiki. Penguatan kolaborasi antar pelaku keamanan siber dan peningkatan kesadaran pengguna juga menjadi kunci utama dalam menghadapi ancaman ini.