勒索攻擊者正優先破壞 EDR/AV,再啟動加密器。企業若仍把EDR(偵測回應)視為第一道防線,將在攻擊者取得短暫無防護時間窗後,面臨大規模加密與營運中斷風險。
近期研究顯示,勒索攻擊者對端點防護的破壞手法已由單純的 BYOVD(自帶弱點驅動程式)擴展為多軌並行,包含腳本型工具、濫用合法 anti-rootkit 軟體,以及不依賴驅動程式的 driverless 方法。攻擊者的目標很明確:先讓 EDR/AV 失效,再為加密器爭取一小段穩定、無防護的執行時間窗。這意味著,企業若僅把 EDR、MDR 或 XDR 當作主要防線,而缺乏前段的執行前預防能力,即使能看到部分異常,也可能無法在第一時間阻止加密與橫向擴散。
本白皮書建議,企業端點防禦架構應由「偵測回應優先」轉向「預防優先、偵測補強、權限治理與分段兜底」。第一道防線必須是能在惡意載荷落地與執行前就先阻斷的預防機制;其後再由 EDR/MDR/SOC 負責追蹤殘餘風險、關聯分析與事件應變。
管理層重點
|
重點 |
說明 |
|
趨勢變化 |
EDR Killer 已形成成熟市場,攻擊者優先讓安全產品失效,而非只追求讓加密器隱形。 |
|
經營風險 |
當防護在加密前被壓制,受害企業可能在數分鐘至數十分鐘內遭遇虛擬機、檔案伺服器與 NAS 的同步加密。 |
|
投資方向 |
預防機制必須列為第一道防線;EDR/MDR/XDR 則作為第二道與第三道防線。 |
|
立即行動 |
盤點脆弱驅動風險、監控驅動安裝與服務停用、限制高權限帳號、強化網段隔離與還原前檢核。 |
當前威脅態勢:攻擊者已從繞過偵測,轉向先摧毀偵測
多年來,BYOVD 一直是勒索攻擊者在加密前關閉安全工具的重要方法。然而最新研究指出,攻擊手法已不再侷限於驅動程式漏洞利用。如今的攻擊者會同時使用腳本型 EDR Killer、濫用合法 anti-rootkit 工具,以及 driverless 的防禦規避手法,形成更具彈性且更難單點攔阻的攻擊組合。
這種變化反映出勒索攻擊的營運邏輯:攻擊者需要的不是永久關閉防護,而是一個短暫但足夠穩定的時間窗,讓加密器與橫向移動工具得以順利執行。相較於花時間將加密器做成完全不可見,直接摧毀或干擾 EDR/AV 通常更簡單、更可靠,也更容易標準化與商業化。
因此,現代勒索攻擊真正投入技術複雜度的地方,往往不是加密器本身,而是防禦規避與 EDR Killer。這代表企業若僅關注惡意程式偵測率,而忽略安全產品可能先被打掉,將低估實際風險。
研究揭示的關鍵訊號
- EDR Killer 已形成結構化、商業化的地下市場,可被購買、轉售、客製化與持續改版。
- 大型與中小型勒索集團都在使用這類工具,代表風險已非少數高階攻擊者獨有。
- 攻擊者透過 packer、程式保護器、反虛擬機與持續重新打包,降低靜態檢測成功率。
- 部分集團會在一次入侵中反覆投放多個 EDR Killer,直到其中一個成功。
為何企業既有端點安全思維已不足
許多企業仍以「我們有防毒/有 EDR」作為端點安全是否足夠的判斷標準。然而在 EDR Killer 成為常態的情況下,這種思維存在兩個問題。第一,企業往往假設安全產品只要還在執行,就代表防護仍有效;第二,企業往往把告警與調查能力誤當成第一道防線。
實際上,攻擊者現在會主動破壞安全服務、阻斷遙測、載入脆弱驅動、濫用合法工具或以 driverless 手法壓制端點防護。當這些行為發生在加密前,若企業沒有更前段的預防機制,SOC 團隊即使看到部分異常,也可能只是在見證攻擊者奪取時間窗。
因此,端點安全架構的真正問題,不再只是「能否看見」,而是「在攻擊者開始打掉防護時,企業是否仍保有第一道阻斷能力」。
傳統思維與建議架構對照
|
面向 |
傳統作法 |
建議作法 |
|
第一道防線 |
防毒或 EDR 告警 |
執行前預防與本地判定 |
|
主要期待 |
看見加密或異常後再處理 |
讓惡意載荷難以落地與執行 |
|
面對 EDR Killer |
假設產品仍可持續運作 |
假設產品可能遭壓制,仍保留前段阻斷 |
|
管理重點 |
事件後調查與復原 |
預防、權限治理、分段與韌性並重 |
建議的端點防禦架構:預防優先、偵測補強、治理兜底
面對 EDR Killer 趨勢,企業應將端點防禦分為三層,各層目的清楚分工,避免把所有期待都壓在單一產品或單一團隊上。
第一道防線:預防機制
核心目標是於惡意載荷落地與執行前先行阻斷。企業應優先導入具備未知威脅執行前預防、本地模型判定、不完全依賴持續雲端連線的端點保護能力。如此一來,即使攻擊者準備部署 EDR Killer,也未必能走到那一步。
第二道防線:EDR / MDR / SOC
此層負責在第一層未完全攔阻時,監控異常驅動安裝、安全服務停用、腳本型 EDR Killer、橫向移動與高權限濫用。重點不是取代預防,而是為殘餘風險提供可視性與快速止血能力。
第三道防線:權限治理、網路分段與復原能力
透過限制高權限帳號、縮小管理面暴露、將 NAS、VMware、備份主機與 AD 管理主機獨立分區,再搭配不可變更備份與還原前檢核,降低攻擊者取得短暫時間窗後擴散成功的機率。
五、給資訊長的分階段行動建議
|
時程 |
重點 |
建議措施 |
|
30 天內 |
立即止血 |
建立與更新脆弱驅動封鎖名單;監控驅動安裝、服務停用、WFP/防火牆規則異動;盤點仍只依賴傳統防毒的端點;稽核高權限帳號與管理介面暴露。 |
|
90 天內 |
架構補強 |
導入以執行前預防為核心的端點第一道防線;針對腳本型與 driverless 手法建立偵測規則;落實 NAS、VMware、備份與 AD 的管理網段隔離;建立還原前靜態掃描流程。 |
|
年度規劃 |
韌性建設 |
推動 prevention-first 端點架構;落實分層管理帳號制度;定期演練「EDR 被打掉後如何維持可視性與應變」;將不可變更備份與復原演練納入例行治理。 |
資訊長可直接提交管理層的結論
|
結論:現代勒索攻擊已從單純躲避偵測,升級為在加密前先主動摧毀端點防護。BYOVD 只是其中一種方式,如今攻擊者同時使用腳本型工具、合法 anti-rootkit 濫用與 driverless 技術,形成成熟的 EDR Killer 生態系。企業若仍將 EDR 或傳統防毒視為第一道防線,將在攻擊者取得短暫無防護時間窗後,面臨大規模加密與營運中斷風險。建議立即將端點防禦架構調整為「預防優先、偵測補強、權限治理與分段兜底」,並把執行前預防能力列為第一道防線。 |
備註:本白皮書依據使用者提供之研究摘要進行管理層重整,適用於端點防禦架構檢討、預算提案與年度資安規劃會議。