EDR-Killer生态系统扩展需要更强的BYOVD防御

曾经罕见的EDR-Killer工具如今已成为令人困惑的勒索软件攻击的关键组成部分，使企业安全团队忙于寻找应对方案。过去一年，安全研究人员观察到这些工具的生态系统有所扩展，这些工具可以在特定环境中禁用端点检测与响应（EDR）平台及其他威胁检测产品。

EDR-Killer通常通过一种名为“自带脆弱驱动”（BYOVD）的技术来实现这一目标，该技术利用具有Windows内核访问权限的合法软件驱动程序来终止安全进程。BYOVD的增长以及EDR-Killer的商业化已成为勒索软件集团的首选手段，这令供应商和研究人员感到担忧，并使微软陷入两难境地。

安全团队面临严峻局面：勒索软件攻击者可以击败核心安全防护，而微软在处理这些脆弱驱动程序时面临艰难选择。虽然这些EDR-Killer实际滥用的脆弱驱动程序数量有限，但阻止它们可能导致应用程序和Windows系统崩溃。

来源: Dark Reading