1. Wprowadzenie

Endpoint Detection and Response (EDR) stał się dziś standardem w ochronie stacji roboczych i serwerów. To narzędzie, które zapewnia telemetrię, analizę behawioralną i reakcję na incydenty w czasie rzeczywistym. Organizacje inwestują w EDR, licząc na to, że stanie się on tarczą, która zatrzyma złośliwe oprogramowanie, ransomware czy ataki APT.

Jednak cyberprzestępcy nie pozostają w tyle. Bypass EDR to dziś jedna z najczęściej rozwijanych gałęzi ofensywnych technik – od prostych trików obfuskacyjnych po zaawansowane operacje living-off-the-land, ataki w pamięci czy wykorzystanie podatnych sterowników (BYOVD). Wiele grup ransomware i APT posiada dedykowane zespoły R&D, które testują swoje narzędzia przeciwko najpopularniejszym agentom EDR, zanim wdrożą je w kampaniach.

Efekt? EDR nie jest nie do przełamania. Jego skuteczność zależy od kontekstu, konfiguracji i tego, czy organizacja wspiera go innymi warstwami obrony. Atakujący dobrze wiedzą, jak wykorzystywać jego słabości, a SOC niejednokrotnie dowiaduje się o incydencie dopiero wtedy, gdy systemy są już zaszyfrowane lub dane wykradzione.

W tym artykule pokażemy najczęstsze techniki omijania EDR, przytoczymy przykłady z realnych ataków oraz przedstawimy odpowiedzi obronne, które pozwalają podnieść poprzeczkę i utrudnić życie intruzom.

2. Jak działa EDR?

Endpoint Detection and Response (EDR) to rozwiązanie, które rozszerza klasyczne funkcje antywirusa o możliwość ciągłej obserwacji endpointów, analizy zachowań i reagowania na incydenty w czasie rzeczywistym. Jego siła polega na telemetrii i integracji z SOC, a nie tylko na blokowaniu plików.

Mechanizmy detekcji

• Sygnatury i IOC – klasyczne wykrywanie znanych zagrożeń na podstawie hashy, domen i wzorców.
• Heurystyka i analiza behawioralna – rozpoznawanie podejrzanych działań, np. nietypowych procesów PowerShell, prób modyfikacji rejestru czy eskalacji uprawnień.
• Analiza w pamięci – wykrywanie anomalii w procesach działających w RAM, które mogą wskazywać na malware fileless.

Telemetria i korelacja w SOC

• EDR zbiera ogromne ilości danych: uruchamiane procesy, połączenia sieciowe, zmiany w plikach i rejestrze.
• Dane są wysyłane do konsoli centralnej, gdzie SOC i systemy SIEM mogą je korelować z innymi źródłami (np. NDR, firewall, CASB).
• Dzięki temu możliwe jest threat hunting – aktywne wyszukiwanie anomalii i śladów ataków, które nie zostały jeszcze sklasyfikowane.

Ograniczenia w praktyce

• Ślepe punkty – EDR nie zawsze widzi wszystko: np. w ruchu zaszyfrowanym, w pamięci jądra czy w procesach ukrywanych przez rootkity.
• Fałszywe alarmy (false positives) – SOC może być zalewany alertami, co utrudnia szybkie reagowanie.
• Zależność od konfiguracji – nieoptymalne reguły lub wyłączone funkcje powodują, że EDR staje się tylko „droższym antywirusem”.
• Reaktywność – EDR często wykrywa atak dopiero po jego rozpoczęciu, a nie w momencie pierwszej próby obejścia zabezpieczeń.

Wniosek: EDR to fundament nowoczesnej ochrony endpointów, ale nie jest „nieomylny”. Jego ograniczenia czynią go atrakcyjnym celem – dlatego atakujący stale opracowują techniki omijania jego mechanizmów.

3. Techniki omijania EDR stosowane przez atakujących

Atakujący wiedzą, że większość dużych organizacji ma już wdrożone EDR. Dlatego ich celem nie jest konfrontacja „wprost”, ale ominięcie lub wyłączenie agenta tak, aby atak przeszedł niezauważony. Poniżej najczęściej spotykane techniki.

1. Living-off-the-land (LOLbins i LOLscripts)

• Wykorzystanie legalnych narzędzi systemowych (PowerShell, WMIC, rundll32, certutil) do wykonywania złośliwych działań.
• Utrudnia detekcję, bo procesy wyglądają jak normalna aktywność administracyjna.
• Przykład: użycie PowerShell do pobrania i uruchomienia payloadu w pamięci bez zapisywania pliku na dysku.

2. Fileless malware i ataki w pamięci

• Malware działa całkowicie w RAM – nie ma pliku do przeanalizowania ani zatrzymania.
• Wstrzykiwanie kodu do procesów systemowych (np. explorer.exe, lsass.exe).
• EDR widzi jedynie proces, który wydaje się być legalny, ale wykonuje złośliwy kod.

3. Obfuscation i packery

• Złośliwe oprogramowanie ukrywa swoje prawdziwe funkcje poprzez zaciemnianie kodu, kompresję i szyfrowanie.
• Częste użycie packerów typu UPX, Themida lub własnych narzędzi grup APT.
• Utrudnia to analizę statyczną i powoduje, że sygnatury EDR stają się bezużyteczne.

4. Manipulacja API i hooking bypass

• EDR korzysta z hooków w API systemowym, aby monitorować wywołania (np. otwieranie procesów, dostęp do pamięci).
• Atakujący omijają te mechanizmy poprzez bezpośrednie wywołania syscalli, manipulację pamięcią jądra albo wykorzystanie niewystandaryzowanych ścieżek API.
• Efekt: działania są wykonywane, ale agent EDR ich nie widzi.

5. Bring Your Own Vulnerable Driver (BYOVD)

• Atakujący instalują w systemie sterownik z podpisem cyfrowym, który zawiera podatności.
• Wykorzystując go, uzyskują dostęp do jądra systemu i mogą wyłączyć lub obejść agenta EDR.
• Popularna technika w kampaniach ransomware (np. LockBit, BlackCat).

6. Kill/disable EDR – ataki na agenta

• Próby bezpośredniego wyłączenia usług i procesów EDR (np. poprzez taskkill, sc stop).
• Eksploity na uprawnienia SYSTEM umożliwiają modyfikację rejestru i zatrzymanie agenta.
• W niektórych przypadkach malware potrafi wykryć obecność konkretnego EDR i zastosować dedykowany bypass.

Wniosek: atakujący nieustannie rozwijają techniki omijania EDR, traktując je jako standardowe wyzwanie operacyjne. Dlatego skuteczna obrona musi zakładać, że bypass EDR jest możliwy – i budować kolejne warstwy zabezpieczeń.

4. Case studies – głośne przykłady ominięcia EDR

Teorie i techniki brzmią groźnie, ale najlepiej pokazują je realne incydenty, w których grupy ransomware i APT skutecznie ominęły mechanizmy EDR. Każdy z tych przypadków dowodzi, że nawet najlepsze rozwiązania wymagają dodatkowych warstw ochrony.

1. Ransomware Conti – living-off-the-land

• Grupa Conti szeroko wykorzystywała narzędzia systemowe Windows (np. PowerShell, WMIC, RDP) do przejmowania stacji i serwerów.
• EDR rejestrował działania, ale wyglądały one jak typowe operacje administratora.
• Dopiero korelacja wielu zdarzeń (anomalia w logowaniach, masowe kopiowanie plików) mogła wskazać na atak.

2. LockBit – wyłączanie agentów EDR

• W kampaniach LockBit 3.0 wykorzystywano skrypty i narzędzia, które automatycznie zatrzymywały procesy najpopularniejszych EDR.
• Malware potrafił zidentyfikować, jaki agent działa w środowisku i zastosować dedykowany kill switch.
• Efekt: ransomware szyfrował systemy bez generowania alertów.

3. APT – fileless attacks i in-memory execution

• Grupy APT (np. APT29, FIN7) używały malware działającego całkowicie w pamięci.
• Payload był wstrzykiwany w procesy systemowe (svchost.exe, lsass.exe), przez co EDR widział legalny proces, ale nie kod atakującego.
• Dzięki temu atakujący mogli długo działać niezauważeni (dwell time liczony w tygodniach).

4. BYOVD – BlackCat i sterowniki Windows

• Grupa BlackCat (ALPHV) instalowała w systemach podatne sterowniki z podpisem cyfrowym Microsoftu.
• Dzięki nim atakujący uzyskiwali uprawnienia do jądra i mogli wyłączyć mechanizmy EDR/XDR na poziomie kernel mode.
• To przykład, że nawet podpisane sterowniki mogą stać się wektorem ominięcia zabezpieczeń.

Wniosek: każda z tych kampanii pokazała, że atakujący aktywnie testują i obchodzą EDR. Organizacje nie mogą zakładać, że wdrożenie EDR „załatwia sprawę” – konieczne jest myślenie w kategoriach wielowarstwowej obrony i proaktywnego threat huntingu.

5. Dlaczego EDR nie wystarczy?

Choć EDR jest fundamentem nowoczesnej ochrony endpointów, w praktyce okazuje się, że nie gwarantuje pełnej odporności. Atakujący nauczyli się wykorzystywać jego ograniczenia, a organizacje często przeceniają możliwości tych narzędzi.

1. Luki w detekcji i reakcjach

• EDR opiera się na regułach i modelach behawioralnych – każde „ślepe pole” (np. ataki w pamięci, rootkity kernel mode) to szansa dla atakujących.
• Jeśli malware używa legalnych narzędzi systemowych (Living-off-the-Land), EDR często nie odróżnia ich od działań administratora.
• Reakcja agenta na incydent zależy od polityki – zbyt restrykcyjna zwiększa liczbę false positives, zbyt luźna daje intruzowi więcej przestrzeni.

2. Problem false positives i noise

• SOC bywa zalewany alertami – tysiące zdarzeń dziennie, z czego większość to fałszywe alarmy.
• W takim środowisku krytyczne sygnały mogą łatwo zniknąć w „szumie”.
• Atakujący świadomie tworzą „dywersję” – generując fałszywe alerty, aby ukryć faktyczny wektor ataku.

3. Zależność od vendorów i cyklu aktualizacji

• Nowe techniki ataków (zero-day, BYOVD) pojawiają się szybciej, niż vendorzy EDR są w stanie opracować skuteczne sygnatury czy reguły.
• W praktyce oznacza to okno podatności, w którym nawet najnowszy EDR może zostać ominięty.

4. Brak pełnego kontekstu

• EDR widzi tylko to, co dzieje się na endpointach – nie zawsze potrafi połączyć anomalie z innymi warstwami (np. ruchem sieciowym, próbami ataków na tożsamość).
• Dlatego atakujący często prowadzą działania rozproszone – np. eksfiltracja danych przez kanały szyfrowane, które EDR ignoruje.

Wniosek: EDR to ważny element obrony, ale sam w sobie nie wystarcza. Organizacje muszą zakładać, że jego obejście jest możliwe i budować obronę wielowarstwową, która daje redundancję i korelację między różnymi źródłami danych.

6. Odpowiedzi obronne – jak utrudnić obejście EDR

Skoro wiadomo, że EDR można ominąć, celem organizacji nie powinno być „ślepe zaufanie” agentowi, ale budowa takiej architektury, w której atakujący musi zmierzyć się z wieloma warstwami zabezpieczeń. Poniżej kluczowe elementy strategii.

1. Defense-in-depth – wielowarstwowa ochrona

• Uzupełnij EDR o XDR (Extended Detection & Response) – korelujący dane z endpointów, sieci (NDR), chmury i tożsamości.
• Integruj alerty w SIEM, aby zyskać szerszy kontekst i szybsze powiązania zdarzeń.
• Dzięki temu nawet jeśli atak ominie EDR, zostanie zauważony na poziomie sieci, logów IdP lub anomalii w chmurze.

2. Hardening systemów i kontrola sterowników

• Wdrażaj polityki blokujące instalację niepodpisanych lub znanych podatnych sterowników (ochrona przed BYOVD).
• Regularnie aktualizuj systemy i firmware, aby zamykać luki wykorzystywane do wyłączenia EDR.
• Wymuś zasady least privilege – konta użytkowników nie powinny mieć uprawnień do zatrzymywania procesów EDR.

3. Threat hunting i detekcja anomalii

• Nie polegaj wyłącznie na automatyce – SOC powinien prowadzić proaktywne polowania na techniki omijania EDR (np. nietypowe użycie PowerShell, wstrzykiwanie kodu w LSASS).
• Korzystaj z MITRE ATT&CK jako mapy do tworzenia scenariuszy detekcji i testów.
• Stosuj BAS (Breach & Attack Simulation), aby regularnie sprawdzać, czy EDR faktycznie widzi techniki z arsenału APT/ransomware.

4. Application whitelisting i kontrola narzędzi systemowych

• Blokuj lub ograniczaj użycie narzędzi typu LOLbins (PowerShell, WMIC, rundll32) tylko do autoryzowanych administratorów.
• Wdrażaj AppLocker / Windows Defender Application Control w środowiskach Windows.
• Monitoruj komendy i skrypty – obfuskacja PowerShell powinna zawsze generować alert wysokiego priorytetu.

5. Sandboxing i deception technology

• Przekierowuj podejrzane pliki i procesy do sandboxa, gdzie mogą być bezpiecznie analizowane.
• Stosuj honeypoty i konta-pułapki, które wykrywają próby ruchu lateralnego i eskalacji uprawnień.
• To techniki, które spowalniają atakujących i zwiększają szansę na wykrycie bypassu.

Wniosek: odpowiedzią na ominięcie EDR nie jest „kupno mocniejszego EDR”, ale architektura wielowarstwowej obrony, aktywny threat hunting i kontrola środowiska, które razem tworzą realną barierę dla atakujących.

7. Rekomendacje dla CIO, CISO i SOC

Bypass EDR to nie hipotetyczne zagrożenie, ale codzienna praktyka grup APT i ransomware. Dlatego CIO i CISO muszą przyjąć założenie, że EDR zostanie kiedyś ominięty – i zbudować plan, jak organizacja zareaguje w takim scenariuszu.

1. Myśl strategicznie – EDR to tylko jedna warstwa

• Traktuj EDR jako element szerszej architektury bezpieczeństwa (XDR, SIEM, NDR, CASB).
• Przyjmij model Zero Trust – nie zakładaj, że endpoint z agentem EDR jest „z natury bezpieczny”.

2. Testuj swoje środowisko

• Regularnie przeprowadzaj red teaming i purple teaming w oparciu o techniki MITRE ATT&CK.
• Wdrażaj BAS (Breach & Attack Simulation), aby automatycznie sprawdzać skuteczność EDR wobec nowych technik ataków.
• Każdy bypass znaleziony w testach to lekcja – i okazja do poprawienia reguł detekcji.

3. SOC – proaktywność zamiast reaktywności

• SOC nie powinien czekać na alerty EDR – powinien aktywnie prowadzić threat hunting.
• Twórz dedykowane playbooki SOAR dla scenariuszy bypass EDR (np. wykrycie podejrzanego sterownika, obfuskowanego PowerShella, nagłego zatrzymania agenta).
• Analizuj „weak signals” – nietypowe wzorce zachowań, które same w sobie nie wywołują alarmów krytycznych.

4. Raportowanie w języku biznesu

• Zarząd musi rozumieć, że EDR ≠ pełna ochrona.
• Zamiast mówić: „wykryliśmy bypass techniką XYZ”, przedstaw to w kategoriach:
  „Atakujący ominął EDR i uzyskał dostęp do danych klientów – ale dzięki dodatkowym warstwom (SIEM/NDR) udało się go zatrzymać. Strata finansowa została zredukowana z potencjalnych 5 mln zł do 200 tys. zł.”
• Takie podejście buduje świadomość i wsparcie dla inwestycji w defense-in-depth.

5. Inwestuj w ludzi, nie tylko w technologie

• Najlepszy EDR nie zastąpi doświadczonych analityków SOC.
• Szkolenia, ćwiczenia kryzysowe i stałe doskonalenie zespołów są kluczowe, by organizacja potrafiła rozpoznać i zatrzymać bypass w praktyce.

Wniosek: CIO i CISO powinni przyjąć filozofię „EDR zostanie ominięty” i wdrożyć strategię, w której bypass nie oznacza katastrofy, lecz jedną z warstw incydentu, którą organizacja potrafi wykryć i powstrzymać dzięki defense-in-depth i proaktywnym działaniom SOC.

8. Podsumowanie

EDR nie jest magiczną tarczą. To fundament współczesnej ochrony endpointów, ale nie rozwiązanie kompletne. Atakujący nauczyli się omijać jego mechanizmy, wykorzystując techniki takie jak living-off-the-land, ataki w pamięci, obfuskację, BYOVD czy nawet bezpośrednie wyłączanie agentów. Przykłady kampanii Conti, LockBit czy BlackCat pokazują, że bypass EDR jest w praktyce normą, a nie wyjątkiem.

Dlatego organizacje muszą zakładać, że EDR zostanie kiedyś przełamany i budować architekturę bezpieczeństwa w oparciu o wielowarstwową obronę (defense-in-depth), proaktywne threat hunting oraz model Zero Trust. Odpowiedzią nie jest „mocniejszy agent”, lecz integracja wielu źródeł telemetrycznych (XDR, NDR, SIEM, CSPM), testowanie środowiska (red/purple teaming, BAS) i rozwój kompetencji SOC.

Konkluzja jest jasna: EDR to konieczność, ale nie panaceum. Traktowany jako jedyne zabezpieczenie daje fałszywe poczucie bezpieczeństwa. Wsparty innymi warstwami i dojrzałymi procesami – staje się potężnym elementem cyberodporności organizacji.