Pular para o conteúdo principal
Fechar
Segurança

BYOVD: EDR Killers, The Gentlemen e o Dashboard Verde Que Mente

Gabriel Ferraresi· CEO | Tech868 de julho de 20265 min
segurancabyovdedrransomwarethe-gentlemenstorm-2697kernelqilin

Seu EDR parou de reportar. O dashboard está verde. Nada alertou. Mas o encryptor já está rodando.

Reconstrua de trás pra frente. Um IOCTL foi enviado a um driver kernel recém-carregado, assinado e vulnerável. Com acesso à memória física, o atacante terminou os processos do EDR via ZwTerminateProcess e removeu os kernel callbacks. O agente aparece ativo, não vê nada. Nós da Tech86 já vimos esse cenário — e ele é mais comum do que parece.

BYOVD: bring your own vulnerable driver

BYOVD é uma técnica onde o atacante traz seu próprio driver vulnerável para o alvo. O driver tem assinatura válida da Microsoft — é um driver legítimo de um vendor legítimo, só que com uma vulnerabilidade explorável. O Windows permite o carregamento porque a assinatura é válida. Uma vez no kernel, o driver expõe IOCTLs que permitem leitura e escrita direta em memória física.

Com acesso à memória física, o atacante opera abaixo das proteções do sistema operacional. Termina os processos do EDR via ZwTerminateProcess. Remove os kernel callbacks que o EDR usa para monitorar criação de processos, acesso a arquivos, e injeção de threads. O agente do EDR continua rodando — aparece ativo no dashboard — mas está cego. Não vê nada porque os olhos dele foram arrancados de dentro do kernel.

The Gentlemen, Storm-2697 e a escala do problema

A assinatura é The Gentlemen, um grupo que surgiu de uma disputa no Qilin RaaS em 2025. A Microsoft rastreia como Storm-2697. Segundo a ESET, o grupo acumulou 480+ vítimas em 66 países, com 250+ na América Latina — uma concentração regional que sugere foco deliberado no nosso mercado.

Em 7 de julho de 2026, o grupo listou a Mercado Libre no leak site do dark web. Reivindicação, não incidente confirmado. Sem sample, breach não confirmado. A distinção importa: uma listagem no leak site é uma afirmação do atacante, não uma evidência de comprometimento. Mas a escala do grupo — 480+ vítimas em 66 países segundo a ESET — torna cada reivindicação digna de investigação.

Os dois EDR killers: ThrottleBlood.sys e ktapi.sys

Dois EDR killers se destacam na operação. O primeiro é ThrottleBlood.sys — na verdade, o ThrottleStop.sys renomeado, um utilitário de overclock legítimo. Tem CVE-2025-7771 atribuído, com CVSS 8.7. O driver expõe IOCTLs para leitura e escrita em memória física via MmMapIoSpace, bypassando SMEP e SMAP. Com isso, mata os principais EDRs do mercado.

O segundo é ktapi.sys, da Kontron. Zero-day sem CVE atribuído. O driver mapeia memória kernel diretamente no espaço do atacante e bypassa PatchGuard, SMAP e SMEP. A diferença crítica: ktapi.sys estava ausente dos blocklists quando foi descoberto. Blocklist é reativo — você só bloqueia o que conhece. Um zero-day sem CVE não está em nenhuma lista.

Por que PPL e blocklists não bastam

PPL (Protected Process Light) resiste a terminação via user-mode, mas não via kernel-mode. Um driver vulnerável carregado no kernel tem privilégios suficientes para terminar processos PPL. A proteção assume que o kernel é confiável — quando o kernel é comprometido via BYOVD, PPL não ajuda.

Driver blocklists são igualmente limitados. Eles bloqueiam drivers conhecidos após a vulnerabilidade ser descoberta e divulgada. Mas entre a descoberta da vulnerabilidade e a atualização do blocklist, há uma janela de exposição. E um zero-day sem CVE — como o ktapi.sys da Kontron — não está em nenhuma lista. A defesa não pode depender de conhecer todas as ameaças.

Defesa em camadas: HVCI, WDAC, canaries e IR offline

A defesa contra BYOVD é em camadas porque nenhuma camada única é suficiente. HVCI (Hypervisor-Protected Code Integrity) opera em Ring -1, abaixo do kernel, e bloqueia violações W^X no nível do hypervisor. Mesmo que um driver vulnerável obtenha acesso à memória kernel, o hypervisor impede a execução de código não assinado.

WDAC (Windows Defender Application Control) com allowlisting de drivers é proativo: apenas drivers explicitamente aprovados carregam no kernel. Blocklist é reativo; allowlisting é preventivo. Quando um novo driver vulnerável aparece, ele já está bloqueado por padrão.

Monitore kernel callbacks para detectar tampering e implante EDR canaries como tripwires. Se o callback que monitora os canaries desaparecer, você sabe que houve manipulação. E assuma cegueira do EDR: mantenha IR offline e teste cópias de segurança regularmente. Quando o encryptor está rodando e o EDR está cego, a cópia de segurança testada é a última linha de defesa.

Na Tech86, o SOC 24/7 humano sobrevive ao tampering com threat hunting proativo. Red Team simula o kill-chain completo do BYOVD — do acesso inicial via infostealer até o encryptor. IAM e Zero Trust reduzem o credential theft que dá ao atacante o acesso inicial necessário para carregar o driver.

Conclusão: o dashboard verde não significa seguro

O dashboard verde não significa seguro. Significa que você pode ter parado de ver. Quando o EDR é silenciado via BYOVD, a ausência de alertas é o sintoma mais perigoso — não a evidência de um ambiente saudável.

Nós repetimos: assuma que o EDR pode ser cego. HVCI, WDAC, kernel callbacks, EDR canaries, IR offline, cópias de segurança testadas, IAM e Zero Trust — cada camada existe porque a anterior pode falhar. Na Tech86, nós ajudamos empresas a construir defesa em camadas que sobrevive ao tampering — porque o dashboard verde é a mentira mais cara da segurança.

blog.cta_consulting_title

blog.cta_consulting_subtitle

Avaliação de EDR e Threat Hunting

Perguntas Frequentes

BYOVD é uma técnica onde o atacante carrega um driver kernel assinado e vulnerável no alvo. O driver tem assinatura válida da Microsoft, então o Windows permite o carregamento. Uma vez no kernel, o driver expõe IOCTLs que permitem leitura e escrita em memória física. Com acesso à memória, o atacante termina os processos do EDR via ZwTerminateProcess e remove os kernel callbacks. O agente do EDR aparece ativo, mas não vê nada — foi silenciado de dentro do kernel.

The Gentlemen é um grupo de ransomware que surgiu de uma disputa no Qilin RaaS em 2025. A Microsoft rastreia o grupo como Storm-2697. Segundo a ESET, o grupo tem 480+ vítimas em 66 países, com 250+ na América Latina. Em 7 de julho de 2026, o grupo listou a Mercado Libre no leak site do dark web — reivindicação, não incidente confirmado. Sem sample, breach não confirmado.

PPL (Protected Process Light) protege processos de terminação via user-mode, mas não protege contra ataques que operam em kernel-mode. Um driver vulnerável carregado no kernel tem privilégios suficientes para terminar processos PPL. Driver blocklists são reativos — eles bloqueiam drivers conhecidos, mas um novo driver vulnerável ou um zero-day sem CVE não está na lista. O ktapi.sys da Kontron estava ausente dos blocklists quando foi descoberto.

ThrottleBlood.sys é o ThrottleStop.sys renomeado, um utilitário de overclock. Tem CVE-2025-7771 com CVSS 8.7 e usa IOCTLs para leitura e escrita em memória física via MmMapIoSpace, bypassando SMEP e SMAP. O ktapi.sys é da Kontron, um zero-day sem CVE: mapeia memória kernel no espaço do atacante e bypassa PatchGuard, SMAP e SMEP. A principal diferença é que ThrottleBlood tem CVE atribuído e está em blocklists, enquanto ktapi.sys era um zero-day ausente dos blocklists quando descoberto.

Na prática, significa que a ausência de alertas não é evidência de ausência de ameaças. Quando o EDR é silenciado via BYOVD, o dashboard mostra tudo verde porque o agente parou de reportar — não porque não há atividade maliciosa. O encryptor pode estar rodando enquanto o SOC vê um ambiente saudável. A defesa em camadas (HVCI, WDAC, kernel callbacks, EDR canaries, IR offline, cópias de segurança testadas) existe precisamente porque nenhuma camada única é suficiente. O dashboard verde significa que você pode ter parado de ver.

Blog — Fale Conosco

Tem alguma pergunta sobre nossos artigos ou serviços? Nossa equipe está pronta para ajudar.

Agendar Reunião

Reserve um horário.

Agendar Agora

E-mail

Envie uma mensagem.

[email protected]

WhatsApp

Conversa rápida.

Endereço

Avenida Paulista, 1636 - São Paulo - SP - 01310-200

Especialista Tech86

Online agora

Olá! Como podemos ajudar a escalar seu negócio hoje?

Tech86 Engineering

Nós valorizamos sua privacidade

Utilizamos cookies e tecnologias similares para otimizar a sua experiência, analisar o tráfego do site e personalizar conteúdo. Ao clicar "Aceitar Todos", você concorda com o uso de todos os cookies. Leia nossa Política de Privacidade.