Зловреден софтуер EDRKillShifter

До Mezo през Malwareг

Превод на:

Група за киберпрестъпления, свързана с RansomHub Ransomware, е забелязана да внедрява нов инструмент, насочен към деактивиране на софтуера за откриване и реагиране на крайна точка (EDR) на компрометирани системи. Експертите по киберсигурност са нарекли тази помощна програма за деактивиране на EDR „EDRKillShifter“. Инструментът беше открит след неуспешен опит за ransomware през май 2024 г. EDRKillShifter сега се присъединява към други подобни програми, като AuKill (известен също като AvNeutralizer) и Terminator.

EDRKillShifter функционира като изпълним файл за „зареждане“, служейки като механизъм за доставка на легитимен, но уязвим драйвер – този тип инструмент обикновено е известен като „донесете свой собствен уязвим драйвер“ (BYOVD). В зависимост от целите на заплахата, той може да разположи различни полезни натоварвания на драйвера.

Съдържание

Ново лице на стара група за киберпрестъпления

Рансъмуерът RansomHub, за който се смята, че е ребрандирана версия на Knight Ransomwar e, появила се през февруари 2024 г. Той използва известни уязвимости в сигурността, за да получи първоначален достъп, като внедрява легитимни инструменти за отдалечен работен плот като Atera и Splashtop, за да поддържа постоянен достъп. Само миналия месец Microsoft разкри, че скандалната група за киберпрестъпления Scattered Spider е добавила щамове рансъмуер като RansomHub и Qilin към своя инструментариум.

Верига от атаки и работа на EDRKillShifter

Изпълняван чрез командния ред с въвеждане на низ за парола, изпълнимият файл дешифрира вграден ресурс, наречен BIN, и го изпълнява директно в паметта. Този BIN ресурс разопакова и изпълнява окончателно базирано на Go, обфусцирано полезно натоварване, което използва различни уязвими, законни драйвери, за да получи повишени привилегии и да деактивира EDR софтуера.

Езиковото свойство на двоичния файл е зададено на руски, което предполага, че злонамереният софтуер е компилиран в система с настройки за руска локализация. Всички разопаковани инструменти за деактивиране на EDR вграждат уязвим драйвер в секцията .data.

Препоръчително е да поддържате системите актуализирани, да активирате защита от фалшифициране в софтуера EDR и да поддържате силни практики за сигурност за ролите на Windows, за да смекчите тази заплаха. Тази атака е осъществима само ако нападателят може да ескалира привилегиите или да получи администраторски права. Осигуряването на ясно разделение между потребителските и администраторските привилегии може да помогне изключително много за предотвратяване на лесното зареждане на повредени драйвери от нападатели.

Как да повишите сигурността на вашите устройства срещу инфекции със зловреден софтуер?

За да подобрят сигурността на устройството и да го предпазят от инфекции със зловреден софтуер, потребителите се насърчават да приемат следните изчерпателни най-добри практики:

Редовни актуализации на софтуера: Операционна система: Уверете се, че вашата операционна система се надстройва редовно с най-новите пачове за сигурност и актуализации за адресиране и коригиране на известни уязвимости. Приложения: Редовно актуализирайте целия инсталиран софтуер, включително уеб браузъри, плъгини и други приложения, за да поддържате сигурността и функционалността.

Силни и уникални пароли: Сложност на паролата: Създавайте сложни пароли, които комбинират букви, цифри и символи, за да подобрят сигурността. Управление на пароли: Използвайте уважаван мениджър на пароли, за да генерирате, съхранявате и управлявате уникални пароли за всеки акаунт, като по този начин намалявате риска от пробиви, свързани с пароли.

Двуфакторно удостоверяване (2FA) : Допълнителна сигурност: Внедрете двуфакторно удостоверяване на всички акаунти и услуги, които го поддържат, добавяйки още един слой на сигурност отвъд традиционните пароли.

Софтуер против злонамерен софтуер: Защита в реално време: Инсталирайте и поддържайте надеждни програми против злонамерен софтуер, които предлагат защита в реално време и провеждат редовни сканирания за откриване и неутрализиране на заплахи. Актуализации на програмата: Редовно актуализирайте тези програми за сигурност, за да сте сигурни, че могат да идентифицират и да се борят ефективно с нови и възникващи заплахи.

Практики за безопасно сърфиране: Избягвайте подозрителни връзки: Въздържайте се от достъп до връзки или изтегляне на прикачени файлове от непознати или подозрителни имейли, за да предотвратите заразяване със зловреден софтуер. Проверете уебсайтовете: Уверете се, че навигирате до сигурни и легитимни уебсайтове, като проверите за HTTPS в URL адреса, преди да въведете лична информация.

Редовни архиви: Архивиране на данни: Често архивирайте критични данни на независимо устройство за съхранение или облачна услуга, за да сведете до минимум потенциалната загуба на данни в случай на атака на злонамерен софтуер.

Конфигурация на защитната стена: Защита на мрежата: Използвайте защитна стена, за да регулирате както входящия, така и изходящия мрежов трафик, като по този начин блокирате неоторизиран достъп и повишавате сигурността на мрежата.

Потребителски привилегии: Принцип на най-малко привилегии: Вместо администраторски акаунт, работете с обикновен потребителски акаунт, за да ограничите потенциалното въздействие на зловреден софтуер върху системните операции. Отделни акаунти: Поддържайте отделни акаунти за рутинни дейности и административни задачи, за да намалите риска от неоторизирана ескалация на привилегии.

Образование и осведоменост: Осведоменост за фишинг: Бъдете информирани за често срещаните тактики за фишинг и тактики за социално инженерство, за да намалите възможността да станете жертва на подобни атаки. Текущо обучение: Непрекъснато участвайте в обучителни и образователни ресурси, за да сте в крак с най-новите заплахи за сигурността и най-добрите практики.

Като възприемат тези най-добри практики, потребителите могат значително да укрепят защитите си срещу инфекции със зловреден софтуер и други заплахи за сигурността, като подобрят цялостната сигурност и целостта на системата.