EDR-Killer erklärt: Wie Angreifer Endpoint-Schutz gezielt ausschalten - und warum NDR die Lücke schliesst

Ransomware-Gruppen haben eine unbequeme Wahrheit für Security-Verantwortliche: Statt immer raffiniertere Malware zu entwickeln, schalten sie den Endpoint-Schutz einfach ab. Sogenannte EDR-Killer sind mittlerweile ein fester Bestandteil moderner Angriffsketten. Eine aktuelle ESET-Analyse von rund 90 aktiv eingesetzten EDR-Killern zeigt, wie professionell und vielfältig dieses Ökosystem geworden ist - und warum Unternehmen, die sich ausschliesslich auf Endpoint Detection & Response verlassen, einen gefährlichen blinden Fleck haben.

Was sind EDR-Killer und warum funktionieren sie?

Die Logik hinter EDR-Killern ist bestechend einfach: Anstatt Malware so zu verpacken, dass sie an der Endpoint-Erkennung vorbeikommt, deaktivieren Angreifer den Schutzmechanismus vor dem eigentlichen Angriff. Das Prinzip lautet: «Erst den Wächter ausschalten, dann verschlüsseln.»

Für Ransomware-Betreiber ist dieser Ansatz aus mehreren Gründen attraktiv. Der Encryptor bleibt stabil und muss nicht ständig angepasst werden. Die Zuverlässigkeit steigt, weil ein vorhersehbares Zeitfenster für die Verschlüsselung entsteht. Und öffentlich verfügbare Proof-of-Concepts senken die Einstiegshürde so weit, dass auch technisch weniger versierte Affiliates diese Tools einsetzen können.

Die fünf Kategorien moderner EDR-Killer

Die Landschaft der EDR-Killer ist weit vielfältiger, als es die öffentliche Diskussion - die oft auf verwundbare Treiber reduziert wird - vermuten lässt. Basierend auf aktuellen Forschungsergebnissen lassen sich fünf Hauptkategorien identifizieren.

1. Skriptbasierte Ansätze

Die einfachste Variante nutzt Windows-Bordmittel wie taskkill, net stop oder sc delete, um Security-Prozesse und -Dienste zu beenden. Manche Varianten erzwingen einen Neustart im abgesicherten Modus, wo EDR-Agenten nicht geladen werden. Diese Methoden sind laut, erzeugen reichlich Telemetrie und werden in der Regel mit wenig versierten Akteuren assoziiert. Dennoch sind sie in der Praxis weiterhin anzutreffen.

2. Missbrauch von Anti-Rootkit-Tools

Legitime Administrations- und Remediation-Tools wie GMER, PC Hunter oder HRSword benötigen von Natur aus Kernel-Zugriff. Angreifer zweckentfremden diese Werkzeuge, um EDR-Prozesse mit erhöhten Privilegien zu beenden. Die Grauzone zwischen legitimer Nutzung und Missbrauch macht die Erkennung besonders herausfordernd.

3. Bring Your Own Vulnerable Driver (BYOVD)

Mit rund 60% Anteil unter den analysierten Tools ist BYOVD der dominante Ansatz. Angreifer bringen einen legitimen, aber verwundbaren Treiber mit, installieren ihn mit erhöhten Privilegien und nutzen die Schwachstelle über die DeviceIoControl-API, um Security-Prozesse zu terminieren oder Kernel-Callbacks zu deaktivieren. Mindestens 35 verschiedene verwundbare Treiber sind dokumentiert, darunter Komponenten von Baidu Antivirus, Avast, K7 Computing und diversen Hardware-Utilities.

Besonders problematisch: Dieselben Treiber tauchen in völlig unabhängigen Tools auf, und einzelne Tools wechseln zwischen verschiedenen Treibern. Das macht eine Attribution auf Basis der Treiberanalyse allein unzuverlässig.

4. Rootkits

Seltener, aber besonders gefährlich: Kernel-Mode-Rootkits wie ABYSSWORKER operieren mit gestohlenen Code-Signing-Zertifikaten und umgehen damit die Treibersignierungspflichten von Windows. Die reine Zertifikatsrevokation reicht als Gegenmassnahme nicht aus, da die Vertrauenskette bereits kompromittiert ist.

5. Treiberlose EDR-Killer

Ein wachsendes Segment verzichtet gänzlich auf Kernel-Interaktion. Tools wie EDRSilencer blockieren die Kommunikation zwischen Endpoint-Agent und Backend-Infrastruktur, während EDR-Freeze EDR-Prozesse in einen nicht-responsiven Zustand versetzt. Diese unkonventionellen Ansätze erschweren die Erkennung erheblich und werden innerhalb weniger Tage nach Veröffentlichung von Proof-of-Concepts adaptiert.

Das Geschäftsmodell: Von DIY bis Killer-as-a-Service

Die Entwicklung von EDR-Killern folgt drei Modellen, die den Professionalisierungsgrad des Ransomware-Ökosystems widerspiegeln.

Eigenentwicklung: Gruppen wie Embargo oder Warlock entwickeln eigene Tools, teilweise mit beeindruckender technischer Tiefe. Die Warlock-Gruppe beispielsweise setzt bis zu neun verschiedene Treiber pro Intrusion ein, darunter solche ohne öffentlich verfügbare Exploits. Es gibt zudem Hinweise auf den Einsatz von KI-gestützter Code-Generierung - erkennbar an generischen Boilerplate-Mustern und trial-and-error Mechanismen im Code.

PoC-Modifikation: Das häufigste Modell. Angreifer nehmen öffentliche Proof-of-Concepts, ändern Debug-Meldungen, fügen Obfuskation hinzu, passen die Zielliste der Security-Produkte an oder portieren den Code in eine andere Programmiersprache. Die eigentliche Exploit-Logik bleibt dabei praktisch unverändert. Besonders das BlackSnufkin BYOVD-Repository dient als meistgenutzte Codebasis für Ransomware-Affiliates.

Kommerzielle Angebote: EDR-Killer werden inzwischen als Service verkauft. Angebote wie DemoKiller, AbyssKiller oder CardSpaceKiller bieten professionelle Features: Anti-VM-Erkennung, kontinuierliches Repacking, verschlüsselte Payloads und strukturierten Kundensupport. Die Preise bewegen sich im Bereich von hunderten bis tausenden US-Dollar. Kunden sind Affiliates namhafter Ransomware-Gruppen wie Qilin, Akira, Medusa und DragonForce.

Warum Treiber-Blockierung allein nicht reicht

Die naheliegende Abwehrstrategie - bekannte verwundbare Treiber blockieren - ist notwendig, aber bei weitem nicht ausreichend. Allein im Februar 2025 wurden über 2'500 Varianten des Truesight.sys-Treibers mit gültigen Signaturen identifiziert. Abgelaufene oder widerrufene Zertifikate umgehen in manchen Fällen nach wie vor die Prüfungen. Und treiberlose EDR-Killer unterlaufen diese Verteidigungslinie komplett.

Hinzu kommt: Das Blockieren legitimer Treiber birgt das Risiko von Betriebsunterbrechungen, da dieselben Treiber in produktiven Umgebungen für Hardware-Management oder andere Zwecke eingesetzt werden können.

Die blinde Stelle: Was passiert, wenn EDR ausfällt?

Hier offenbart sich das fundamentale Problem einer rein Endpoint-zentrierten Sicherheitsarchitektur: Wenn der EDR-Agent erfolgreich deaktiviert wird, verliert das Security Operations Center jede Sichtbarkeit auf dem betroffenen Endpunkt. Laterale Bewegungen, Datenexfiltration und die finale Verschlüsselung geschehen dann im Blindflug.

Genau an dieser Stelle wird Network Detection & Response (NDR) zur entscheidenden ergänzenden Schutzschicht. NDR operiert unabhängig vom Endpoint und überwacht den Netzwerkverkehr auf Protokollebene. Ein deaktivierter EDR-Agent ändert nichts daran, dass:

• arrow_rightLaterale Bewegungen sichtbar bleiben - Ungewöhnliche SMB-, RDP- oder WMI-Verbindungen zwischen Hosts werden auf Netzwerkebene erkannt, unabhängig davon, ob der Endpoint-Agent aktiv ist.
• arrow_rightC2-Kommunikation detektiert wird - Die Kommunikation zwischen kompromittiertem Endpunkt und Command-and-Control-Server traversiert das Netzwerk und wird durch Verhaltensanalyse und Threat Intelligence identifiziert.
• arrow_rightDatenexfiltration auffällt - Grosse Datenmengen, die das Netzwerk Richtung Internet verlassen, erzeugen Netzwerk-Anomalien, die NDR zuverlässig erkennt.
• arrow_rightDer EDR-Ausfall selbst ein Signal ist - Wenn ein zuvor aktiver Endpoint plötzlich keine Telemetrie mehr liefert, ist das aus NDR-Perspektive ein hochprioritärer Alarm.

Handlungsempfehlungen für CISOs und IT-Security-Verantwortliche

Angesichts der zunehmenden Professionalisierung von EDR-Killern sollten Unternehmen im DACH-Raum ihre Verteidigungsstrategie kritisch überprüfen. Die folgenden Massnahmen sind dabei zentral:

Defense-in-Depth konsequent umsetzen: EDR bleibt eine wichtige Komponente, darf aber nicht die einzige Erkennungsschicht sein. Die Kombination mit NDR schafft eine zweite, unabhängige Sichtlinie, die auch bei kompromittierten Endpoints greift.

Verwundbare Treiber aktiv blockieren: Die Microsoft Vulnerable Driver Blocklist und eigene Policies über WDAC (Windows Defender Application Control) sollten konsequent eingesetzt werden - im Wissen, dass dies allein nicht genügt.

EDR-Agenten-Integrität überwachen: Tamper-Protection-Funktionen aktivieren und den plötzlichen Ausfall von Endpoint-Telemetrie als hochkritisches Event behandeln.

Netzwerksegmentierung verschärfen: Je granularer die Segmentierung, desto geringer der Blast Radius, wenn ein Endpoint kompromittiert wird. NDR liefert die Visibilität, um Segmentierungsverletzungen in Echtzeit zu erkennen.

Incident-Response-Pläne anpassen: Szenarien, in denen EDR nicht verfügbar ist, müssen in Tabletop-Übungen und Playbooks berücksichtigt werden. Netzwerk-basierte Forensik wird dann zur primären Informationsquelle.

Fazit: Wer nur auf den Endpoint schaut, sieht nicht genug

EDR-Killer sind keine Randerscheinung - sie sind ein systematischer, kommerzialisierter Bestandteil moderner Ransomware-Operationen. Die Analyse zeigt, dass das Ökosystem von simplen Skripten bis hin zu professionellen Killer-as-a-Service-Angeboten reicht. Für Security-Verantwortliche bedeutet das: Eine rein Endpoint-zentrierte Verteidigung ist heute nicht mehr ausreichend. Network Detection & Response schliesst die Lücke, die entsteht, wenn EDR ausfällt, und liefert die Netzwerk-Sichtbarkeit, die Angreifer nicht abschalten können.