Tool EDR Killer Manfaatkan Driver Kernel Bertanda Tangan dari Perangkat Forensik

Peneliti keamanan mengungkap penggunaan EDR killer canggih yang memanfaatkan driver kernel lama bertanda tangan dari perangkat lunak forensik EnCase untuk menonaktifkan puluhan solusi keamanan. Alat berbahaya ini mampu mendeteksi dan mematikan hingga 59 produk keamanan, termasuk EDR dan antivirus, dengan teknik bypass tingkat kernel.

EDR killer adalah perangkat lunak berbahaya yang dirancang khusus untuk melumpuhkan mekanisme perlindungan endpoint. Umumnya, alat ini memanfaatkan teknik Bring Your Own Vulnerable Driver (BYOVD), yakni menyalahgunakan driver sah namun rentan untuk memperoleh akses kernel dan menghentikan proses keamanan yang dilindungi.

Penyalahgunaan Driver EnCase yang Telah Dicabut

Dalam insiden yang dianalisis, penyerang menyalahgunakan driver kernel lama bernama EnPortv.sys milik EnCase—perangkat forensik yang lazim digunakan penegak hukum untuk ekstraksi dan analisis data. Sertifikat driver ini diterbitkan pada 2006, kedaluwarsa pada 2010, dan kemudian dicabut. Namun, karena mekanisme Driver Signature Enforcement Windows memvalidasi hasil kriptografi dan timestamp (bukan daftar pencabutan sertifikat), driver tersebut masih diterima sistem.

Pengecualian historis juga berperan. Meski Windows 10 versi 1607 mensyaratkan penandatanganan driver melalui Hardware Dev Center, terdapat pengecualian untuk sertifikat yang diterbitkan sebelum 29 Juli 2015—yang berlaku pada kasus ini. Akibatnya, driver lama tetap bisa dimuat dan digunakan untuk operasi berbahaya.

Rantai Serangan dan Persistensi

Peneliti mencatat bahwa penyerang masuk ke jaringan melalui kredensial SSL VPN yang telah dikompromikan, tanpa perlindungan multi-factor authentication. Setelah akses diperoleh, pelaku melakukan pengintaian internal agresif, termasuk pemindaian ICMP, probe NetBIOS, aktivitas SMB, hingga banjir SYN dengan laju tinggi.

EDR killer yang digunakan berupa executable 64-bit yang menyamar sebagai utilitas pembaruan firmware. Driver kernel dipasang dan didaftarkan sebagai layanan perangkat keras OEM palsu untuk membangun persistensi yang bertahan setelah reboot. Selanjutnya, malware memanfaatkan antarmuka IOCTL mode kernel untuk menghentikan proses layanan keamanan, melewati perlindungan Windows seperti Protected Process Light.

Dampak Teknis dan Tujuan Serangan

Alat ini menjalankan kill loop setiap detik untuk memastikan proses keamanan yang mencoba aktif kembali langsung dihentikan. Total terdapat 59 target proses yang berkaitan dengan EDR dan antivirus. Berdasarkan pola intrusi, insiden ini diduga terkait aktivitas ransomware, meski payload akhir berhasil dihentikan sebelum dieksekusi.

Rekomendasi Pertahanan

Untuk mengurangi risiko serupa, organisasi disarankan menerapkan autentikasi multi-faktor pada seluruh layanan akses jarak jauh, memantau log VPN untuk aktivitas mencurigakan, serta mengaktifkan HVCI/Memory Integrity agar vulnerable driver blocklist ditegakkan. Pemantauan layanan kernel yang menyamar sebagai komponen OEM atau perangkat keras juga penting. Selain itu, penerapan kebijakan Windows Defender Application Control dan aturan Attack Surface Reduction dapat membantu memblokir driver bertanda tangan yang rentan.

Kasus ini menegaskan bahwa driver lama bertanda tangan masih dapat menjadi vektor bypass yang efektif jika kontrol tambahan tidak diterapkan, dan bahwa keamanan akses jarak jauh merupakan garis pertahanan krusial.