8 de fevereiro de 2026

Huntress descreve intrusão via SonicWall e uso de BYOVD para ‘matar’ EDR antes de ransomware

7 de fevereiro de 2026

Caso real: invasores usaram credenciais de SonicWall SSLVPN e implantaram um EDR killer via BYOVD (driver do EnCase).
A técnica mira o kernel para derrubar processos de segurança e abrir caminho para ransomware e movimentação lateral.

Resumo: A Huntress relatou um caso de resposta a incidente em que atacantes entraram na rede usando credenciais comprometidas de SonicWall SSLVPN e, em seguida, tentaram neutralizar ferramentas de segurança com um “EDR killer”. O binário abusava de um driver legítimo do EnCase (certificado revogado) para encerrar processos de segurança a partir do kernel — um padrão de BYOVD (Bring Your Own Vulnerable Driver).

O que aconteceu

De acordo com a Huntress, a telemetria do SonicWall foi essencial para reconstruir a linha do tempo: houve autenticação bem-sucedida via VPN e, logo depois, reconhecimento agressivo na rede. Na fase de execução, o atacante implantou um executável que decodifica e instala um driver de kernel, registrando-o como serviço para poder derrubar processos de EDR/AV repetidamente.

O que é BYOVD (e por que virou tendência)

BYOVD é quando o atacante leva um driver assinado e vulnerável (ou mal-utilizável) para obter capacidades privilegiadas — como finalizar processos protegidos — driblando defesas em modo usuário. O caso destaca um ponto sensível: mesmo com certificados expirados/revogados, alguns drivers antigos ainda podem carregar por compatibilidade e por validação via timestamp.

Detalhes técnicos que chamaram atenção

  • Driver em “wordlist”: o payload do driver era codificado como palavras para reduzir detecção por assinatura/entropia.
  • Persistência: o driver foi registrado como serviço de kernel em caminho de aparência “OEM”.
  • Loop de eliminação: lista de dezenas de processos-alvo e tentativa contínua de derrubada, para impedir recuperação automática do EDR.

Impacto e risco

Neutralizar EDR abre caminho para exfiltração, movimentação lateral e, frequentemente, ransomware. Mesmo quando a criptografia não chega a acontecer, a tentativa indica um operador com maturidade e intenção de causar alto impacto operacional.

O que fazer agora

  • VPN e credenciais: revise acessos do SonicWall (MFA, senhas, contas inativas) e monitore anomalias de autenticação.
  • Bloqueio de drivers vulneráveis: habilite/valide o “Vulnerable Driver Blocklist” e HVCI/Memory Integrity quando possível.
  • Caça a IOC/TTP: procure por criação de serviços de driver, escrita de .sys em caminhos incomuns e encerramento recorrente de processos de segurança.
  • Resposta: se houver evidência de BYOVD, trate como comprometimento com privilégio elevado e acelere contenção.

Fonte: Huntress

Fonte da imagem: Huntress

Tags: , , , , ,

Matérias Relacionadas

OVHcloud culpa ataque DDoS recorde de botnet MikroTik

5 de julho de 2024

Exchange DMM sofre roubo de mais de U$300mi em bitcoin

3 de junho de 2024

Todos os funcionários do Santander e ’30 milhões’ de clientes na Espanha, Chile e Uruguai foram hackeados

31 de maio de 2024

Veja mais..

Botnet AISURU/Kimwolf é atribuída a ataque DDoS recorde de 31,4 Tbps, aponta Cloudflare

7 de fevereiro de 2026

Huntress descreve intrusão via SonicWall e uso de BYOVD para ‘matar’ EDR antes de ransomware

7 de fevereiro de 2026

CISA alerta sobre bypass de autenticação em câmeras TP-Link VIGI (CVE-2026-0629) no recurso de recuperação de senha

7 de fevereiro de 2026

Notepad++: cadeia de atualização foi comprometida e distribuiu versões adulteradas por meses

7 de fevereiro de 2026

DKnife: framework AitM em roteadores usa DPI e sequestro de tráfego para entregar malware

7 de fevereiro de 2026