Hack Alerta

Ferramenta ‘EDR killer’ abusa de driver EnCase assinado para desativar proteções

Por Redação Hack Alerta Publicado em 04/02/2026 12:03 Riscos e Ameaças Tempo de leitura: 3 min

Pesquisadores identificaram uma ferramenta que abusa de um driver de kernel legítimo (EnCase), embora revogado, para desativar EDRs e identificar 59 produtos de segurança. A técnica explora assinaturas legítimas para executar código em kernel e dificultar a detecção e resposta dos times de segurança.

Introdução

Pesquisadores relataram a existência de uma ferramenta maliciosa que utiliza um driver de kernel legítimo — mas revogado há muito tempo — do software forense EnCase para desativar EDRs e outros controles, detectando até 59 produtos de segurança.

O mecanismo observado

O artefato em foco emprega um driver de kernel assinado originalmente usado pelo EnCase. Apesar da assinatura ter sido revogada, atacantes o reutilizam para ganhar privilégios de kernel e executar operações que inibem processos de defesa. O uso de drivers assinados por fornecedores legítimos é uma técnica bem conhecida para elevar privilégios e reduzir bloqueios por mecanismos de integridade do sistema.

Capacidades e alcance

  • Detecção de ferramentas: a ferramenta é capaz de identificar 59 produtos de segurança distintos, o que indica amplo suporte para neutralizar EDRs e soluções de proteção de endpoint.
  • Escopo operacional: ao operar em modo kernel, o código pode manipular listagens de processos, hooks e comunicações de rede de forma a dificultar a resposta e a coleta de telemetria.
  • Abuso de assinaturas: o uso de um driver assinado por fornecedor legítimo torna bloqueios por reputação menos eficazes.

Implicações para defensores

Este tipo de técnica amplia o risco para ambientes corporativos: se um invasor obtiver execução local com privilégios elevados, pode desinstalar ou impedir a operação de controles essenciais, ampliar o tempo de permanência e reduzir a visibilidade das operações maliciosas.

Mitigações recomendadas

  • Implementar controles de integridade de drivers (WHQL/driver signing verificado em runtime) e políticas de bloqueio de drivers não autorizados via whitelisting de kernel.
  • Hardenização de endpoints: limitar privilégios locais, aplicar mitigadores de execução e monitorar alterações suspeitas em drivers carregados no kernel.
  • Correlações de telemetria: configurar alertas para mudanças súbitas em saúde do EDR, queda de telemetria e ações de bloqueio de processos de segurança.
  • Resposta: ter playbooks para investigação de drivers carregados recentemente e capacidades de isolamento de hosts com suspeita de manipulação de kernel.

O que falta

As publicações resumidas não fornecem nomes completos das amostras, hashes ou uma lista pública das 59 ferramentas detectadas pela ‘EDR killer’, o que limita a capacidade de criação de regras de detecção imediatas. Também não há indicação clara sobre vetores iniciais de infiltração que levam ao uso do driver — por exemplo, se a técnica está sendo aplicada após exploração remota, phishing ou por compromissos internos.

Observações finais

O reaproveitamento de componentes assinados legitima a necessidade de defesa em profundidade: mesmo com assinaturas válidas, controles de comportamento, whitelisting restritivo e monitoramento de integridade de kernel são essenciais para reduzir a superfície de ataque e manter a eficácia dos EDRs.

Baseado em publicação original de BleepingComputer
Tags: #edr-killer #encase #driver-assinado #kernel #endpoint-security #whitelisting #forensics #attackers #security
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar