EDR stał się tak skuteczny w zatrzymywaniu infekcji malware na wczesnym etapie, że cyberprzestępcy coraz częściej sięgają po techniki, które pozwalają działać poza zasięgiem tego typu narzędzi. Jak wskazuje ExtraHop, najczęściej stosowane są trzy następujące podejścia:
1️⃣ Kradzież poświadczeń
Kradzież loginów i haseł to obecnie najpopularniejsza metoda uzyskiwania dostępu do zasobów organizacji. Zgodnie z 2024 Verizon Data Breach Investigations Report, credential theft odegrał rolę w ponad połowie wszystkich analizowanych naruszeń. Gdy atakujący podszywa się pod prawdziwego użytkownika, nie wywołuje podejrzeń w systemach EDR – a to daje mu czas na rozpoznanie środowiska i przygotowanie kolejnych etapów ataku.
2️⃣ Wykorzystywanie luk (exploiting vulnerabilities)
Rosnąca liczba podatności – w tym zero-day, zarówno w oprogramowaniu serwerowym, jak i w samych rozwiązaniach bezpieczeństwa – daje cyberprzestępcom idealną drogę do wejścia w głąb sieci organizacji bez konieczności interakcji z endpointami. Coraz więcej z nich wykorzystuje specjalne narzędzia określane jako EDR killers, które potrafią wyłączyć albo ominąć działanie agentów EDR.
3️⃣ Living off the land – wykorzystywanie wbudowanych narzędzi systemowych
Zamiast dostarczać klasyczne malware, atakujący chętnie korzystają z narzędzi dostępnych już w systemie – takich jak PowerShell, obecny na każdym urządzeniu z Windows. Dzięki temu adwersarze mogą wykonywać polecenia, poruszać się po sieci i wyprowadzać dane bez wywoływania alarmów antywirusowych czy sygnatur malware. Ten sposób działania jest znacznie trudniejszy do wykrycia, bo nie generuje klasycznych artefaktów złośliwego oprogramowania.
