Как злоумышленники обходят EDR в 2025 году (реальные методы + как их остановить)

Киберзлоумышленники теперь могут приобрести комплекты для обхода EDR в даркнете.
Современные инструменты обнаружения и реагирования на конечные точки обладают мощными сенсорами ядра, поведенческим анализом и облачной аналитикой, но злоумышленники развиваются ещё быстрее.

В этом видео я подробно расскажу, как работает EDR, как злоумышленники его обходят и что можно сделать, чтобы им помешать.

Мы рассмотрим:
🔹 BYOVD (принеси свой уязвимый драйвер)
🔹 Прямые системные вызовы и отцепление (чистые карты ntdll, заглушки системных вызовов, рефлексивная загрузка)
🔹 DKOM (прямое манипулирование объектами ядра)
🔹 Подделка ETW и AMSI
🔹 Цепочки обхода защиты на уровне ядра
🔹 Практические рекомендации по обнаружению для команд SOC
🔹 Шаги по защите: HVCI, WDAC, безопасная загрузка, разрешённые списки драйверов
🔹 Контрольный список приоритетов SOC при угрозе целостности ядра

Это один из важнейших современных путей атак, который должны понимать специалисты по безопасности, особенно в 2025 году, когда обходы на уровне ядра становятся дешевле, проще и автоматизированнее.

Если вашей организации нужна независимая оценка, киберплан или помощь в усилении этих мер безопасности, посетите сайт https://securitywarden.org.

👍 Поставьте лайк под видео
🔔 Подпишитесь на регулярные материалы о кибербезопасности

#кибербезопасность #EDR #кибератака #взлом #информационнаябезопасность #blueteam #redteam #DFIR #реагированиенаинцидент #вредоносноеПО #windowssecurity #socanalyst #securitywarden