Per anni l’Endpoint Detection and Response (EDR) è stato considerato tra le principali tecnologie di difesa contro le minacce avanzate, grazie alla capacità di fornire visibilità e risposta quasi in tempo reale sugli endpoint. Le più recenti campagne ransomware dimostrano ormai una realtà concreta: l’EDR, se utilizzato come unica linea di difesa, può essere facilmente neutralizzato.
Il gruppo ransomware DeadLock ha sfruttato una criticità strutturale con una tecnica ormai consolidata, nota come Bring Your Own Vulnerable Driver (BYOVD), che consente agli attaccanti di caricare driver legittimi ma vulnerabili per ottenere l’esecuzione di codice a livello kernel e neutralizzare i meccanismi di protezione endpoint.
Non si tratta più di un approccio relegato ai contesti di Red team o alla ricerca, ma di una tecnica operativa adottata da attori criminali finanziariamente motivati per colpire direttamente le difese endpoint.
Cosa è successo: il Kill Switch a livello Kernel
Un esempio concreto di questa problematica è rappresentato dalla vulnerabilità CVE-2024-51324, individuata in un driver legittimo e firmato di Baidu Antivirus, che non richiede la presenza del prodotto sul sistema. Questa falla ha fornito agli attaccanti un metodo efficace per disattivare soluzioni EDR e antivirus.
La catena di attacco osservata si articola nei seguenti passaggi:
Sfruttamento di un driver legittimo
Gli aggressori hanno introdotto nei sistemi un driver autentico ma vulnerabile di Baidu Antivirus, BdApiUtil.sys, spesso rinominato per eludere i controlli, ad esempio DriverGay.sys o googleApiUtil64.sys. Anche il gruppo GOLD SALEM è stato osservato mentre sfruttava la stessa vulnerabilità.
Gestione impropria dei privilegi
La CVE-2024-51324, classificata come CWE-269 (Improper Privilege Management), risiede nella logica interna del driver. Sebbene l’installazione richieda privilegi amministrativi, una volta caricato il driver accetta richieste provenienti anche da processi eseguiti da utenti non privilegiati.
Terminazione arbitraria dei processi
Il loader del ransomware, ad esempio EDRGay.exe, invia una richiesta tramite DeviceIoControl() utilizzando il codice IOCTL 0x800024b4. Il driver interpreta tale richiesta come un comando valido per terminare un processo.
Bypass completo delle difese
Operando a livello kernel, il driver richiama ZwTerminateProcess() senza verificare i privilegi del chiamante. In questo modo gli attaccanti riescono a terminare immediatamente i servizi EDR e antivirus, aggirando i meccanismi di autoprotezione in user mode.
Una volta neutralizzate le difese endpoint, gli attori, che spesso ottengono l’accesso iniziale tramite credenziali legittime compromesse, possono agire indisturbati. Le fasi successive includono l’uso di script PowerShell per disabilitare Windows Defender, l’arresto dei servizi di backup e l’eliminazione delle copie shadow del volume, rendendo il ripristino estremamente complesso prima dell’esecuzione del payload ransomware DeadLock.
Le criticità dell’EDR: la cecità dell’agente
Gli attacchi BYOVD mettono in evidenza un limite intrinseco dell’EDR: la dipendenza da un agente software residente sull’endpoint. Se un attore malevolo riesce a sfruttare un componente legittimo e firmato per operare a livello kernel, può silenziare quell’agente e rimuovere completamente la visibilità proprio nel momento più critico dell’attacco.
In questi scenari l’EDR non fallisce per mancanza di funzionalità, ma perché viene deliberatamente reso inoperativo. Di fatto, l’endpoint viene lasciato senza capacità di rilevazione.
Perché l’EDR da solo non basta: il ruolo dell’MDR
Contrastare attacchi multi-fase come quelli attribuiti a DeadLock richiede un cambio di approccio. La difesa non può basarsi esclusivamente su un prodotto, ma su un modello operativo stratificato e orientato all’avversario. In questo contesto si inserisce il servizio MDR (Managed Detection and Response).
L’EDR rimane fondamentale per la raccolta della telemetria, ma l’MDR introduce un elemento decisivo: l’analisi umana specializzata, in grado di correlare eventi e individuare segnali deboli che precedono l’eliminazione dell’agente.
In particolare, un servizio MDR consente di:
Rilevare e correlare l’intera catena di attacco
Un servizio MDR non si limita agli alert generati dall’agente EDR, ma correla eventi provenienti da endpoint, identità, rete e log di sistema. Nel caso di campagne come DeadLock, questo significa individuare segnali preliminari quali l’uso anomalo di account legittimi, modifiche al registro di sistema per l’abilitazione di RDP, l’installazione di software di accesso remoto o l’esecuzione di script PowerShell sospetti. La correlazione di questi eventi permette di identificare l’attacco nelle fasi iniziali, prima che venga attivato il meccanismo di disattivazione dell’EDR.
Individuare e bloccare tecniche evasive prima che abbiano effetto
Attraverso attività di threat hunting continuo, l’MDR ricerca attivamente comportamenti riconducibili a tecniche note, come il caricamento di driver non autorizzati o vulnerabili, tipici degli attacchi BYOVD. Questo approccio consente di intercettare l’abuso di componenti legittimi prima che vengano utilizzati per operare a livello kernel e disabilitare le difese endpoint.
Applicare e mantenere misure di mitigazione operative
Un servizio MDR supporta l’implementazione e il mantenimento di controlli di sicurezza concreti, come politiche di application control, restrizioni sul caricamento dei driver e hardening dei sistemi. Queste misure non vengono applicate una tantum, ma verificate e adattate nel tempo sulla base dell’evoluzione delle minacce osservate.
Gestire la risposta agli incidenti in modo coordinato e tempestivo
Quando un attacco è in corso o ha già superato la fase di rilevazione, l’MDR fornisce un team specializzato in grado di intervenire rapidamente. Le attività includono il contenimento dell’endpoint compromesso, l’analisi dell’impatto, l’interruzione del movimento laterale e il supporto alle operazioni di ripristino, riducendo il tempo di permanenza dell’attaccante all’interno dell’infrastruttura.
Per concludere
L’EDR resta un componente essenziale della sicurezza endpoint, ma non è più sufficiente se adottato come unica misura di difesa. Le tecniche BYOVD dimostrano che un attaccante può colpire direttamente il livello kernel e disattivare i controlli endpoint prima della fase distruttiva dell’attacco.
In questo scenario, il servizio MDR rappresenta l’evoluzione necessaria: un modello che combina tecnologia, processi, visibilità estesa e competenze umane per individuare e contrastare l’attacco anche quando l’EDR viene aggirato. Per le organizzazioni, non si tratta più di un miglioramento opzionale, ma di un requisito fondamentale per affrontare minacce sempre più sofisticate.
