BlogAlert
Security Alert — Natychmiastowe działanie wymagane

Qilin ransomware wyłącza ponad 300 rozwiązań EDR – co wiemy

Grupa Qilin wyłącza ponad 300 systemów EDR jednym atakiem BYOVD. Fakty z analizy Cisco Talos – łańcuch ataku, techniki, skala zagrożenia.

SecIQ Team3 min czytania

Kluczowe wnioski

  • Grupa ransomware Qilin potrafi wyłączyć ponad 300 systemów EDR jednym złośliwym plikiem DLL
  • Atak wykorzystuje technikę BYOVD – legalny, podpisany sterownik Windows do obejścia zabezpieczeń na poziomie jądra
  • EDR traci widoczność: callbacki na procesy, wątki i ładowanie modułów zostają wyrejestrowane
  • Qilin to jeden z najaktywniejszych operatorów RaaS – ponad 40 ofiar miesięcznie

Co się stało

2 kwietnia 2026 roku zespół Cisco Talos opublikował analizę nowego łańcucha ataku grupy ransomware Qilin (śledzonej też jako Agenda, Gold Feather, Water Galura). To jeden z najaktywniejszych operatorów Ransomware-as-a-Service – ponad 40 potwierdzonych ofiar miesięcznie.

Nowa kampania wyróżnia się skalą. Malware Qilin potrafi wyłączyć ponad 300 rozwiązań EDR (Endpoint Detection and Response) praktycznie każdego dużego producenta – używając jednego złośliwego pliku DLL. Wcześniejsze ataki na EDR celowały w pojedynczych producentów. Tu jest inaczej.

Łańcuch ataku

Atak łączy DLL side-loading z BYOVD (Bring Your Own Vulnerable Driver) – MITRE ATT&CK klasyfikuje to jako T1562.001 (Impair Defenses: Disable or Modify Tools).

Etap 1: DLL side-loading. Na komputerze ofiary pojawia się legalna aplikacja wraz ze złośliwym plikiem msimg32.dll. Aplikacja ładuje tę bibliotekę automatycznie z katalogu roboczego – standardowe zachowanie Windows. Złośliwy kod startuje z funkcji DllMain.

Etap 2: Obfuskacja. Loader stosuje obfuskację SEH/VEH, manipulację obiektami jądra i omijanie systemowych wywołań API. Wszystko odbywa się w pamięci.

Etap 3: Instalacja podatnych sterowników (BYOVD). Loader instaluje dwa legalne, ale podatne sterowniki jądra. Pierwszy – rwdrv.sys – daje dostęp do odczytu i zapisu pamięci fizycznej. Drugi – hlpdrv.sys – służy do terminowania procesów EDR (przez IOCTL 0x2222008). Oba sterowniki są podpisane cyfrowo, więc Windows akceptuje je bez ostrzeżenia.

Etap 4: Wyłączenie EDR na poziomie jądra. Mając dostęp do pamięci fizycznej przez rwdrv.sys, malware iteruje przez zakodowaną listę ponad 300 rozwiązań EDR i wyrejestrowuje ich callbacki jądra:

  • tworzenie procesów
  • tworzenie wątków
  • ładowanie modułów (image load)

Po tej operacji EDR traci widoczność na poziomie jądra. Nie rejestruje już tworzenia procesów, aktywności wątków ani ładowania modułów.

Etap 5: Obejście Code Integrity. Malware tymczasowo nadpisuje callback CiValidateImageHeader funkcją zwracającą „true" – wyłącza weryfikację integralności kodu Windows. Po operacji callback jest przywracany, żeby utrudnić analizę forensyczną.

Bezpłatny audyt

Bezpłatny audyt zabezpieczeń Microsoft 365

Sprawdzimy konfigurację Twojego tenanta M365, wykryjemy luki i dostarczymy raport z rekomendacjami.

Umów audyt

Etap 6: Ransomware. Dopiero teraz uruchamiany jest właściwy payload.

Dlaczego to groźne

Ponad 300 rozwiązań EDR na zakodowanej liście – to nie atak na jednego producenta, ale na cały ekosystem ochrony endpointów. Wcześniejsze kampanie celowały w pojedynczych dostawców.

Wyrejestrowanie callbacków jądra to nie „obejście detekcji" – to eliminacja możliwości detekcji w ogóle. EDR nie widzi ataku, bo system operacyjny przestaje mu dostarczać dane. To zasadnicza różnica wobec technik unikania w przestrzeni użytkownika.

Do tego: wykonanie w pamięci, przywracanie callbacków Code Integrity, wielowarstwowa obfuskacja. Analiza post-mortem jest znacznie trudniejsza niż zwykle.

Co jeszcze nie jest jasne

Analiza Cisco Talos opisuje łańcuch ataku, ale kilka istotnych pytań zostaje otwartych.

Nie wiadomo, jak dokładnie złośliwy DLL trafia na komputer ofiary – phishing, exploity, niechroniony RDP, atak na supply chain? Talos tego nie precyzuje.

Microsoft Vulnerable Driver Blocklist blokuje znane podatne sterowniki, ale nie jest pewne, czy rwdrv.sys i hlpdrv.sys są już na tej liście.

Osobna kwestia to wpływ na telemetrię SIEM. Gdy EDR na endpoincie jest wyłączony, logi endpointowe przestają płynąć do SIEM. Które źródła telemetrii pozostają nienaruszone – wymaga dalszej analizy.

Będziemy aktualizować ten artykuł gdy pojawią się nowe informacje i rekomendacje od producentów.

Źródła

FAQ

Co to jest atak BYOVD?
BYOVD (Bring Your Own Vulnerable Driver) to technika, w której atakujący instaluje na komputerze ofiary legalny, ale podatny sterownik Windows. Bo sterownik jest podpisany cyfrowo, system operacyjny go akceptuje. Atakujący wykorzystuje lukę w tym sterowniku do uzyskania dostępu na poziomie jądra systemu.
Ile rozwiązań EDR jest zagrożonych atakiem Qilin?
Według analizy Cisco Talos, malware Qilin zawiera zakodowaną listę ponad 300 rozwiązań EDR praktycznie każdego dużego producenta. Atak celuje we wszystkich naraz, co odróżnia go od wcześniejszych kampanii wymierzonych w pojedynczych dostawców.
Jak wygląda łańcuch ataku Qilin na EDR?
Atak składa się z kilku etapów: dostarczenie złośliwego pliku msimg32.dll przez DLL side-loading, załadowanie podatnych sterowników (rwdrv.sys, hlpdrv.sys) techniką BYOVD, wyrejestrowanie callbacków jądra ponad 300 rozwiązań EDR, obejście Code Integrity, a na końcu uruchomienie ransomware.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą.

O zespole →

Powiązane artykuły

Poradnik

Cyberatak — rodzaje, scenariusze i ochrona firmy

10 min czytania

Poradnik

Cyberbezpieczeństwo dla firm — kompletny przewodnik 2026

12 min czytania

Poradnik

KSC 2.0 — ustawa o krajowym systemie cyberbezpieczeństwa

10 min czytania
Wróć do bloga