Een recente analyse van endpoint detection and response (EDR) killers heeft aangetoond dat 54 van deze tools gebruikmaken van de techniek 'bring your own vulnerable driver' (BYOVD). Hierbij worden in totaal 34 kwetsbare, ondertekende drivers misbruikt om beveiligingsmaatregelen uit te schakelen. EDR killers worden vaak ingezet bij ransomware-aanvallen om beveiligingssoftware te neutraliseren voordat schadelijke encryptiemalware wordt uitgevoerd, wat detectie moet voorkomen.

Volgens onderzoeker Jakub Souček van ESET zijn ransomwaregroepen, met name die werken via ransomware-as-a-service (RaaS), continu bezig met het ontwikkelen van nieuwe versies van hun encryptors. Het onopgemerkt houden van deze malware is complex, omdat encryptors veel bestanden in korte tijd wijzigen en daardoor veel 'ruis' veroorzaken. EDR killers fungeren als gespecialiseerde componenten die eerst beveiligingscontroles uitschakelen, waardoor de encryptors eenvoudiger en stabieler blijven.

De meeste EDR killers maken gebruik van legitieme maar kwetsbare drivers om verhoogde privileges te verkrijgen, ook wel kernel-mode privileges of Ring 0 genoemd. Op dit niveau heeft code onbeperkte toegang tot het systeemgeheugen en hardware. Omdat het voor aanvallers niet mogelijk is om een niet-ondertekende kwaadaardige driver te laden, gebruiken zij een door een betrouwbare leverancier ondertekende driver met een bekende kwetsbaarheid. Met deze toegang kunnen zij EDR-processen beëindigen, beveiligingstools uitschakelen en de bescherming van endpoints ondermijnen.

De BYOVD-gebaseerde EDR killers worden vooral ontwikkeld door drie groepen: gesloten ransomwaregroepen die niet met affiliates werken, aanvallers die bestaande proof-of-concept code aanpassen, en cybercriminelen die deze tools als dienst op de zwarte markt aanbieden. Daarnaast zijn er script-gebaseerde tools die gebruikmaken van ingebouwde Windows-commando’s om beveiligingsprocessen te verstoren, soms gecombineerd met het opstarten in de veilige modus. Ook bestaan er anti-rootkits en nieuwe driverloze EDR killers die netwerkverkeer van EDR-oplossingen blokkeren en deze in een soort 'coma' brengen.