为了回避端点电脑的杀毒软件及EDR系统侦测，攻击者打造能绕过这些端点防护系统的工具可说是越来越常见，而在最近一起攻击行动里，黑客测试新型态的端点防护绕过工具引起研究人员注意。

资安业者Palo Alto Networks揭露发生在客户的资安事故，攻击者向初始入侵掮客（IAB）购买能通过远程管理软件Atera存取的管道，而能成功进行目标企业的网络环境，在攻击行动里，对方试图运用恶意系统，将该厂牌的Cortex XDR代理程序部署到虚拟环境。研究人员认为，黑客此举是借由自带驱动程序（BYOVD）手法，测试新的端点防护绕过工具。

这起攻击行动的发现，在于该公司旗下的威胁情报团队Unit 42接获客户遭到勒索通报，结果发现，其中2个环境型态不明的用户端环境受到相关攻击。攻击者在这些端点电脑安装了旧版的Cortex XDR代理程序，研究人员在对方不知情的状态下成功存取这些端点，并找到一系列的作案工具，循线于黑客论坛找到专门兜售相关工具的消息。

其中名为disabler.exe的运行档引起研究人员的注意，他们发现该软件使用能公开取得的EDR回避侦测工具EDRSandBlast改造而成，攻击者企图借此绕过EDR端点防护程序（针对在用户模式下运行的程序库与内核模式的回传，锁定与移除当中的EDR挂勾），然后在不受干扰的情况下运行其他的工具，其中包含了帐密转存工具Mimikatz。

研究人员根据黑客使用的文件夹名称等特征进行调查，在网络犯罪论坛XSS及Exploit发现有人兜售相关工具，其中一个使用Marti71为ID的用户，很可能是参与相关工具开发的人士。