Huntress descreve intrusão via SonicWall e uso de BYOVD para ‘matar’ EDR antes de ransomware

Resumo: A Huntress relatou um caso de resposta a incidente em que atacantes entraram na rede usando credenciais comprometidas de SonicWall SSLVPN e, em seguida, tentaram neutralizar ferramentas de segurança com um “EDR killer”. O binário abusava de um driver legítimo do EnCase (certificado revogado) para encerrar processos de segurança a partir do kernel — um padrão de BYOVD (Bring Your Own Vulnerable Driver).

O que aconteceu

De acordo com a Huntress, a telemetria do SonicWall foi essencial para reconstruir a linha do tempo: houve autenticação bem-sucedida via VPN e, logo depois, reconhecimento agressivo na rede. Na fase de execução, o atacante implantou um executável que decodifica e instala um driver de kernel, registrando-o como serviço para poder derrubar processos de EDR/AV repetidamente.

O que é BYOVD (e por que virou tendência)

BYOVD é quando o atacante leva um driver assinado e vulnerável (ou mal-utilizável) para obter capacidades privilegiadas — como finalizar processos protegidos — driblando defesas em modo usuário. O caso destaca um ponto sensível: mesmo com certificados expirados/revogados, alguns drivers antigos ainda podem carregar por compatibilidade e por validação via timestamp.

Detalhes técnicos que chamaram atenção

• Driver em “wordlist”: o payload do driver era codificado como palavras para reduzir detecção por assinatura/entropia.
• Persistência: o driver foi registrado como serviço de kernel em caminho de aparência “OEM”.
• Loop de eliminação: lista de dezenas de processos-alvo e tentativa contínua de derrubada, para impedir recuperação automática do EDR.

Impacto e risco

Neutralizar EDR abre caminho para exfiltração, movimentação lateral e, frequentemente, ransomware. Mesmo quando a criptografia não chega a acontecer, a tentativa indica um operador com maturidade e intenção de causar alto impacto operacional.

O que fazer agora

• VPN e credenciais: revise acessos do SonicWall (MFA, senhas, contas inativas) e monitore anomalias de autenticação.
• Bloqueio de drivers vulneráveis: habilite/valide o “Vulnerable Driver Blocklist” e HVCI/Memory Integrity quando possível.
• Caça a IOC/TTP: procure por criação de serviços de driver, escrita de .sys em caminhos incomuns e encerramento recorrente de processos de segurança.
• Resposta: se houver evidência de BYOVD, trate como comprometimento com privilégio elevado e acelere contenção.

Fonte: Huntress

Fonte da imagem: Huntress