EDR Killers: a nova ameaça que merece sua atenção
Nos últimos anos, muita gente passou a ouvir falar de EDR, XDR e a “nova geração” de segurança em endpoints. Em outro artigo, eu conto a história dessa evolução: saímos do mundo em que bastava instalar um antivírus famoso – Kaspersky, Avast, Norton, McAfee, AVG, Avira – para uma realidade em que as empresas precisam de visibilidade, detecção e resposta em tempo quase real. A boa notícia é que as defesas melhoraram bastante. A má notícia é que os atacantes acompanharam esse movimento e hoje existem ameaças projetadas especificamente para enganar, desabilitar ou cegar os próprios EDRs. É sobre esse novo cenário que trata este texto.
O que são EDR Killers?
Quando falamos em EDR Killers, não estamos falando de “um vírus mais forte”, mas de técnicas e ferramentas desenhadas com um objetivo bem específico: burlar, enganar ou desligar a camada de detecção e resposta do endpoint. Se o antivírus tradicional tinha como alvo principal o arquivo malicioso, o EDR tem como foco o comportamento, a telemetria e a correlação de eventos. Os EDR Killers, portanto, atacam exatamente esses pontos. Eles tentam passar como atividade legítima, viver dentro de processos confiáveis, aproveitar brechas em modelos de confiança ou, em situações mais graves, interferir diretamente no funcionamento do próprio agente de segurança, às vezes em nível de sistema operacional.
É importante reconhecer que os próprios EDRs líderes de mercado – como SentinelOne, CrowdStrike e Microsoft Defender – se tornam alvos dos EDR Killers justamente por estarem mais presentes e por oferecerem maior capacidade de detecção. Paradoxalmente, são também essas soluções de ponta que oferecem a melhor proteção disponível para os endpoints, desde que bem configuradas e inseridas em uma estratégia madura. Ou seja, não basta “ter um EDR”: ele precisa figurar entre as tecnologias mais avançadas e, ainda assim, não operar sozinho. Sem uma equipe ou serviço especializado acompanhando a telemetria, investigando alertas, correlacionando eventos e tomando decisões rápidas, mesmo a melhor ferramenta do mercado perde grande parte do seu potencial de proteção.
Como os ataques acontecem?
No universo dos EDR Killers, alguns vetores se destacam pela frequência e pela sofisticação, combinando evasão silenciosa com ataques diretos à camada de defesa, e geralmente aparecem em cinco grandes grupos principais:
- Living off the Land (LotL): Uso malicioso de ferramentas e recursos já presentes no sistema, como scripts nativos, interpretadores de comandos e serviços internos de administração. Como esses componentes são legítimos e muitas vezes entram em listas de confiança, o comportamento malicioso se mistura ao uso cotidiano, tornando difícil diferenciar operação normal de abuso e deixando a detecção pelo EDR muito mais complexa.
- Fileless e manipulação de memória: Execução de ataques que evitam gravar arquivos maliciosos em disco e operam principalmente em memória. O atacante injeta código em processos legítimos, substitui o conteúdo interno de processos existentes ou carrega bibliotecas diretamente na memória, escondendo a atividade maliciosa “por dentro” de aplicativos confiáveis. Como muitas defesas ainda se apoiam em análise de arquivos, essa abordagem reduz a visibilidade e aumenta a chance de o ataque passar despercebido.
- Ataques diretos ao agente de EDR: Ameaças que mapeiam quais soluções de segurança estão instaladas e identificam seus processos, serviços e componentes de monitoramento em tempo real. A partir disso, tentam encerrar processos, alterar configurações, explorar vulnerabilidades no próprio software de segurança ou operar com privilégios elevados para impedir que o EDR registre o que ocorre na máquina. Em cenários mais avançados, o agente não é apenas desativado, mas também enganado, gerando telemetria incompleta ou distorcida e dificultando investigações.
- Abuso de drivers legítimos (incluindo BYOVD): Exploração de drivers em modo de núcleo, que possuem alto privilégio e grande nível de confiança no sistema operacional. Os atacantes carregam drivers assinados, porém vulneráveis, ou introduzem no ambiente drivers já conhecidos como frágeis (Bring Your Own Vulnerable Driver – BYOVD). Ao explorar essas falhas, obtêm acesso privilegiado à memória e às estruturas internas do sistema, podendo desativar proteções, esconder processos e manipular diretamente o comportamento do EDR.
- Abuso de certificados de code signing: Uso indevido de certificados de assinatura de código vazados ou roubados para assinar binários e drivers maliciosos com aparência legítima. Como sistemas operacionais, ferramentas de segurança e políticas internas tendem a confiar em software assinado, esses executáveis recebem menos resistência e verificação. O risco aumenta quando não há checagem rigorosa de revogação, validade e origem dos certificados, permitindo que atacantes reutilizem certificados indevidos ou explorem falhas em listas de confiança, inclusive em ataques à cadeia de fornecimento.
Conclusão: novos riscos, novas abordagens
Quando juntamos todas essas peças, entendemos por que o tema EDR Killers não interessa apenas aos times técnicos, mas também aos executivos. A questão não se limita a “ter EDR ou não ter EDR”. O jogo hoje gira em torno de quão maduro está o uso dessa tecnologia, qual o nível de visibilidade real sobre o ambiente, como a empresa trata confiança em software, drivers e certificados, e que tipo de estratégia existe para lidar com atacantes que, deliberadamente, miram na camada de detecção e resposta. Não se trata de desmerecer o EDR – pelo contrário, ele continua essencial – mas é preciso admitir que, sozinho, ele não basta, principalmente quando o adversário já desenha seus movimentos para neutralizá‑lo.
Para as organizações, isso significa encarar cibersegurança menos como custo e mais como componente estrutural de risco. Significa revisar políticas de confiança, reforçar controles sobre drivers e certificados, monitorar uso de ferramentas legítimas em contextos suspeitos e investir em capacidade de investigação e resposta, não apenas em bloqueio automático. E, acima de tudo, aceitar que a evolução natural do antivírus para o EDR não encerra a história. Ela apenas muda o terreno sobre o qual se trava a disputa entre quem defende e quem ataca. Os EDR Killers são a prova de que essa disputa segue viva e cada vez mais sofisticada – e de que ignorar esse capítulo custa caro.
