Vuosina 2023–2025 on nähty lukuisia tapauksia, joissa hyökkääjät ovat onnistuneet ohittamaan organisaatioiden huolellisesti rakennetut puolustuskerrokset. Uutisotsikoissa on esiintynyt tunnettuja EDR-tuotteita (mm Bitdefender,  Fortinet, McAfee, Microsoft, SentinelOne, Sophos, Symantec, Kaspersky, WithSecure), jotka hyökkäystyökalut ovat kyenneet pysäyttämään tai kytkemään pois päältä. Yksi esimerkki tästä on EDRKillShifter, työkalu, joka pystyy poistamaan käytöstä useita markkinoiden johtavia EDR-tuotteita hyödyntämällä signed driver -haavoittuvuuksia. Hakkeri sammuttaa EDR.

Tämä paljastaa yhden keskeisen ongelman: EDR-agentti ei ole automaattisesti suojattu itseensä kohdistuvilta hyökkäyksiltä. Ilman tamper protectionia mikä tahansa järjestelmänvalvojan oikeuksilla toimiva prosessi – myös haitallinen – voi yrittää pysäyttää, poistaa tai muokata suojausagenttia.

Mitä Tamper Protection tarkoittaa?

Tamper Protection on ominaisuus, joka estää:

  • EDR- tai AV-agentin pysäyttämisen (service stop / taskkill).
  • Agentin poistamisen ilman erityistä salasanaa tai hallintakonsolin lupaa.
  • Asetusten muuttamisen paikallisesti (esim. real-time protection pois päältä).
  • Oikein toteutettuna tämä tarkoittaa, että vaikka hyökkääjä saisi local admin -tason pääsyn koneelle, hän ei voi kytkeä suojausta pois.

Miksi EDR-tuotteissa tämä ei ole automaattisesti käytössä.

  1. Hallittavuus: Ylläpitäjien on pystyttävä ratkomaan ongelmatilanteita. Jos suojaus olisi aina pakotettuna, agenttia ei voisi poistaa tai muuttaa edes vikatilanteessa.
  2. Yhteensopivuus: Joissakin organisaatioissa EDR voi aiheuttaa konflikteja liiketoimintakriittisten sovellusten kanssa → tällöin pitää olla mahdollisuus tehdä poikkeuksia.
  3. Asennuksen joustavuus: Testi- ja POC-ympäristöissä halutaan helppo poisto ilman ylimääräisiä lukituksia.
  4. Eri käyttötilanteet: Esim FortiClientiä käytetään monessa yrityksessä vain VPN-agenttina, ei EDR:nä. Samasta syystä tamper protection ei ole oletusarvo.

Microsoftin tapauksessa Tamper Protection on suunniteltu haittaohjelmia vastaan, ei käyttäjää vastaan. PIN tai Hello-varmistus ei auttaisi, koska haittaohjelma ei käytä käyttöliittymää, vaan yrittää pysäyttää palvelun suoraan kernel-tasolta.

Käytännössä ominaisuus saadaan käyttöön vain keskitetyillä hallintaratkaisuilla. mutta valitettavan monella pienellä ja keskikokoisella Suomalaisella yrityksellä on menty siitä missä aita on matalin. Esimerkkejä toimittajilta:

  • Microsoft Defender (Win11) Tamper Protection Windows Security (manuaalisesti) tai pakotettuna Intunella
  • FortiClient / FortiEDR Password Protection / Agent Protection FortiClient EMS tai FortiEDR Management Console
  • Palo Alto Cortex XDR Agent Protection + Uninstall Password Cortex XDR Management Console
  • F-Secure / WithSecure Password/Tamper Protection Elements Security Center (pilvi) tai Policy Manager (on-prem)

Yhteistä kaikille: todellinen tamper protection toimii vain, jos hallitaan keskitetysti.

Kaikilla toimittajilla ei samaa läpinäkyvyyttä

Kaikissa tuotteissa ei ole avointa dokumentaatiota siitä, miten tamper protection eli suojaus agentin pysäyttämistä tai poistamista vastaan on toteutettu. Tämä ei välttämättä tarkoita, ettei suojausta olisi olemassa – joillakin valmistajilla se voi olla osa laajempaa itse-suojausta (self-protection), mutta sitä ei yksinkertaisesti nosteta esiin erillisenä ominaisuutena.

Yrityksen näkökulmasta tämä on tärkeä huomio. Jos valmistaja ei selkeästi kerro, miten suoja toimii, jää epäselväksi voiko hyökkääjä admin-oikeuksilla kytkeä agentin pois päältä. Siksi on hyvä aina kysyä toimittajalta tarkennuksia ja varmistaa käytännössä, että kriittinen suoja pysyy päällä silloin kun sitä eniten tarvitaan.

Miksi riski on korkea ilman hallintakonsolia?

Jos organisaatiolla ei ole Intunea, FortiClient EMS:ää, Cortex XDR Managementia tai WithSecure Policy Manageria, tilanne on ongelmallinen:
• Paikallinen admin voi ottaa suojauksen pois päältä.
• Haittaohjelma, joka käyttää privilege escalationia, voi tehdä saman.
• IT-osastolla ei ole näkyvyyttä siihen, että agentti on poistettu käytöstä.

Tämä tarkoittaa, että EDR voi olla koneella asennettuna, mutta ei välttämättä päällä kriittisellä hetkellä.

Tunnetut hyökkäykset, joissa tamper protectionin puute on korostunut

  • Scattered Spider (UNC3944) – ohittivat MFA:n ja liikkuivat ympäristöissä hyödyntäen “living off the land” -tekniikoita. Monessa tapauksessa EDR oli olemassa, mutta kytketty pois päältä heti alussa.
  • Crypto24-ransomware – suunniteltu ohittamaan EDR-valvonta.
  • EDRKillShifter – pystyi sammuttamaan mm. Sophos-, SentinelOne-, Defender-, Bitdefender- ja Fortinet-agentteja signed driver -hyökkäystekniikalla.
  • IoT-hyökkäykset (Mirai ja johdannaiset) – laitteissa ei ole EDR-agenttia → ei tamper protectionia → vain segmentointi ja kovennus auttavat.

Suositukset organisaatioille

  • Käytä aina keskitettyä hallintaa – mikä tahansa hallintamalli on parempi kuin ei mitään.
  • Ota käyttöön tamper protection ja uninstall password.
  • Estä agentin pysäytys ja poisto ilman erillistä salasanaa.
  • Segmentoi IoT ja muut agentittomat laitteet.
    • Mirain kaltaiset haittaohjelmat kohdistuvat juuri sinne, missä tamper protection ei ole mahdollinen.
  • Monitoroi agentin tilaa jatkuvasti.
  • Jos EDR lakkaa raportoimasta, se on yhtä hälyttävä signaali kuin havaittu haitta

Lopuksi

Vuoden 2025 hyökkäykset ovat osoittaneet, että pelkkä EDR:n asentaminen ei enää riitä. Jos tamper protection ei ole käytössä, hyökkääjä voi muuttaa EDR:stä “nuken”, joka näyttää olevan paikallaan mutta ei tee mitään. Hakkeri sammuttaa EDR.

Organisaation kannattaa kysyä itseltään:

  • Onko meidän EDR-agenttimme suojattu tamper protectionilla?
  • Onko se hallittu keskitetysti, vai voiko local admin ottaa sen pois päältä?
  • Onko meillä näkyvyys, jos agentti kytkeytyy pois?

Jos vastaus on epäselvä, riski on korkea – ja hyökkääjät tietävät sen.

 

Hannu Rokka, Senior Advisor

5Feet Networks Oy