برنامج EDRKillShifter الخبيث

بواسطة Mezo في Malware

ترجمة الى:

تم رصد مجموعة جرائم إلكترونية مرتبطة بفيروس RansomHub Ransomware وهي تنشر أداة جديدة تهدف إلى تعطيل برامج الكشف عن نقاط النهاية والاستجابة لها (EDR) على الأنظمة المخترقة. أطلق خبراء الأمن السيبراني على هذه الأداة التي تعمل على تعطيل EDR اسم "EDRKillShifter". تم اكتشاف الأداة بعد محاولة فاشلة لفيروس الفدية في مايو 2024. تنضم EDRKillShifter الآن إلى برامج أخرى مماثلة، مثل AuKill (المعروف أيضًا باسم AvNeutralizer) وTerminator.

يعمل EDRKillShifter كملف قابل للتنفيذ، حيث يعمل كآلية توصيل لبرنامج تشغيل شرعي ولكنه معرض للخطر - يُعرف هذا النوع من الأدوات عادةً باسم "إحضار برنامج التشغيل المعرض للخطر" (BYOVD). اعتمادًا على أهداف الجهة الفاعلة المهددة، يمكنه نشر حمولات برامج تشغيل مختلفة.

جدول المحتويات

وجه جديد لمجموعة جرائم إلكترونية قديمة

يُعتقد أن RansomHub Ransomware هو نسخة معدلة من Knight Ransomware e، وقد ظهر في فبراير 2024. وهو يستغل نقاط الضعف الأمنية المعروفة للحصول على وصول أولي، ونشر أدوات سطح مكتب بعيدة شرعية مثل Atera وSplashtop للحفاظ على الوصول المستمر. في الشهر الماضي فقط، كشفت Microsoft أن مجموعة الجرائم الإلكترونية سيئة السمعة Scattered Spider أضافت سلالات برامج الفدية مثل RansomHub وQilin إلى مجموعة أدواتها.

سلسلة الهجوم وتشغيل EDRKillShifter

يتم تنفيذ الملف القابل للتنفيذ عبر سطر الأوامر مع إدخال سلسلة كلمة مرور، ويقوم بفك تشفير مورد مضمن يسمى BIN وتشغيله مباشرة في الذاكرة. يقوم مورد BIN هذا بفك ضغط حمولة نهائية مشوشة تعتمد على Go وتنفيذها، والتي تستغل برامج تشغيل مختلفة معرضة للخطر ومشروعة للحصول على امتيازات مرتفعة وتعطيل برنامج EDR.

تم تعيين خاصية لغة الملف الثنائي على اللغة الروسية، مما يشير إلى أن البرنامج الضار تم تجميعه على نظام بإعدادات توطين روسية. تقوم جميع أدوات تعطيل EDR غير المضغوطة بتضمين برنامج تشغيل ضعيف داخل قسم .data.

يُنصح بالحفاظ على تحديث الأنظمة وتمكين الحماية من العبث في برنامج EDR والحفاظ على ممارسات أمنية قوية لأدوار Windows للتخفيف من هذا التهديد. لا يمكن تنفيذ هذا الهجوم إلا إذا كان المهاجم قادرًا على تصعيد الامتيازات أو الحصول على حقوق المسؤول. إن ضمان الفصل الواضح بين امتيازات المستخدم والمسؤول يمكن أن يساعد بشكل كبير في منع المهاجمين من تحميل برامج تشغيل تالفة بسهولة.

كيفية تعزيز أمان أجهزتك ضد الإصابة بالبرامج الضارة؟

لتعزيز أمان الجهاز والحماية من الإصابة بالبرامج الضارة، يتم تشجيع المستخدمين على اعتماد أفضل الممارسات الشاملة التالية:

تحديثات البرامج المنتظمة: نظام التشغيل: تأكد من تحديث نظام التشغيل الخاص بك بانتظام بأحدث تصحيحات الأمان والتحديثات لمعالجة الثغرات الأمنية المعروفة وتصحيحها. التطبيقات: قم بتحديث جميع البرامج المثبتة بانتظام، بما في ذلك متصفحات الويب والمكونات الإضافية والتطبيقات الأخرى، للحفاظ على الأمان والوظائف.

كلمات مرور قوية وفريدة: تعقيد كلمة المرور: أنشئ كلمات مرور معقدة تجمع بين الأحرف والأرقام والرموز لتعزيز الأمان. إدارة كلمة المرور: استخدم مدير كلمات مرور حسن السمعة لإنشاء كلمات مرور فريدة لكل حساب وتخزينها وإدارتها، وبالتالي تقليل مخاطر الخروقات المتعلقة بكلمة المرور.

المصادقة الثنائية (2FA) : أمان إضافي: قم بتنفيذ المصادقة الثنائية على جميع الحسابات والخدمات التي تدعمها، مما يضيف طبقة أخرى من الأمان إلى جانب كلمات المرور التقليدية.

برامج مكافحة البرامج الضارة: الحماية في الوقت الفعلي: قم بتثبيت برامج مكافحة البرامج الضارة الموثوقة وصيانتها والتي توفر الحماية في الوقت الفعلي وتجري عمليات فحص منتظمة للكشف عن التهديدات وتحييدها. تحديثات البرامج: قم بتحديث برامج الأمان هذه بانتظام لضمان قدرتها على تحديد التهديدات الجديدة والناشئة ومكافحتها بشكل فعال.

ممارسات التصفح الآمن: تجنب الروابط المشبوهة: امتنع عن الوصول إلى الروابط أو تنزيل المرفقات من رسائل البريد الإلكتروني غير المألوفة أو المشبوهة لمنع الإصابة بالبرامج الضارة. التحقق من مواقع الويب: تأكد من أنك تنتقل إلى مواقع ويب آمنة ومشروعة من خلال التحقق من HTTPS في عنوان URL قبل إدخال أي معلومات خاصة.

النسخ الاحتياطي المنتظم: النسخ الاحتياطي للبيانات: قم بعمل نسخ احتياطية منتظمة للبيانات المهمة على جهاز تخزين مستقل أو خدمة سحابية لتقليل فقد البيانات المحتمل في حالة حدوث هجوم بالبرامج الضارة.

تكوين جدار الحماية: حماية الشبكة: استخدم جدار الحماية لتنظيم حركة المرور الواردة والصادرة عبر الشبكة، وبالتالي منع الوصول غير المصرح به وتعزيز أمان الشبكة.

امتيازات المستخدم: مبدأ الحد الأدنى من الامتيازات: بدلاً من حساب المسؤول، قم بالعمل باستخدام حساب مستخدم عادي للحد من التأثير المحتمل للبرامج الضارة على عمليات النظام. حسابات منفصلة: احتفظ بحسابات منفصلة للأنشطة الروتينية والمهام الإدارية للتخفيف من خطر تصعيد الامتيازات غير المصرح بها.

التعليم والتوعية: التوعية بأساليب التصيد الاحتيالي: احرص على الاطلاع على أساليب التصيد الاحتيالي الشائعة وأساليب الهندسة الاجتماعية لتقليل احتمالية الوقوع ضحية لهذه الهجمات. التدريب المستمر: شارك بشكل مستمر في التدريب والموارد التعليمية للبقاء على اطلاع بأحدث التهديدات الأمنية وأفضل الممارسات.

ومن خلال اتباع أفضل الممارسات هذه، يمكن للمستخدمين تعزيز دفاعاتهم بشكل كبير ضد الإصابة بالبرامج الضارة وغيرها من التهديدات الأمنية، مما يعزز أمان النظام وسلامته بشكل عام.