Multi-License Discount Quote
Databáze hrozeb Malware Malware EDRKillShifter

Malware EDRKillShifter

V roce Mezo v roce Malware
Přeložit do:
Čeština

Skupina zabývající se kyberzločinem spojená s RansomHub Ransomware byla spatřena, jak nasazuje nový nástroj zaměřený na deaktivaci softwaru pro detekci a odezvu koncových bodů (EDR) na kompromitovaných systémech. Odborníci na kybernetickou bezpečnost pojmenovali tento nástroj pro deaktivaci EDR „EDRKillShifter“. Nástroj byl objeven po neúspěšném pokusu o ransomware v květnu 2024. EDRKillShifter se nyní připojuje k dalším podobným programům, jako je AuKill (také známý jako AvNeutralizer) a Terminator.

EDRKillShifter funguje jako spustitelný „zavaděč“ a slouží jako doručovací mechanismus pro legitimní, ale zranitelný ovladač – tento typ nástroje je obvykle znám jako „přineste si vlastní zranitelný ovladač“ (BYOVD). V závislosti na cílech aktéra hrozby může nasadit různé užitečné zatížení ovladačů.

Nová tvář staré kyberzločinecké skupiny

RansomHub Ransomware , o kterém se věřilo, že je přeznačenou verzí Knight Ransomwar e, se objevil v únoru 2024. Využívá známé zranitelnosti zabezpečení k získání počátečního přístupu a nasazuje legitimní nástroje vzdálené plochy, jako je Atera a Splashtop, aby udržoval trvalý přístup. Minulý měsíc Microsoft prozradil, že nechvalně známá kyberzločinecká skupina Scattered Spider přidala do své sady nástrojů ransomwarové kmeny jako RansomHub a Qilin.

Útočný řetězec a provoz EDRKillShifter

Spustitelný soubor, který se spouští pomocí příkazového řádku se vstupem řetězce hesla, dešifruje vložený prostředek s názvem BIN a spustí jej přímo v paměti. Tento zdroj BIN rozbalí a spustí finální, zatemněný náklad založený na Go, který využívá různé zranitelné, legitimní ovladače k získání zvýšených oprávnění a deaktivaci softwaru EDR.

Vlastnost jazyka binárního souboru je nastavena na ruštinu, což naznačuje, že malware byl zkompilován v systému s ruským nastavením lokalizace. Všechny rozbalené nástroje pro deaktivaci EDR obsahují zranitelný ovladač v sekci .data.

Ke zmírnění této hrozby se doporučuje udržovat systémy aktualizované, povolit ochranu proti neoprávněné manipulaci v softwaru EDR a udržovat přísné bezpečnostní postupy pro role Windows. Tento útok je proveditelný pouze v případě, že útočník může eskalovat oprávnění nebo získat práva správce. Zajištění jasného oddělení mezi uživatelskými a administrátorskými právy může velmi pomoci zabránit útočníkům ve snadném načítání poškozených ovladačů.

Jak zvýšit zabezpečení vašich zařízení proti malwarovým infekcím?

Pro posílení zabezpečení zařízení a ochranu před malwarovými infekcemi se uživatelům doporučuje, aby přijali následující komplexní osvědčené postupy:

  • Pravidelné aktualizace softwaru: Operační systém: Zajistěte, aby byl váš operační systém pravidelně aktualizován nejnovějšími bezpečnostními záplatami a aktualizacemi, které řeší a opravují známá slabá místa. Aplikace: Pravidelně aktualizujte veškerý nainstalovaný software, včetně webových prohlížečů, zásuvných modulů a dalších aplikací, abyste zachovali zabezpečení a funkčnost.
  • Silná a jedinečná hesla: Složitost hesel: Vytvářejte složitá hesla, která kombinují písmena, čísla a symboly pro zvýšení bezpečnosti. Správa hesel: Využijte renomovaného správce hesel ke generování, ukládání a správě jedinečných hesel pro každý účet, čímž se sníží riziko prolomení hesla.
  • Dvoufaktorové ověřování (2FA) : Další zabezpečení: Implementujte dvoufaktorové ověřování na všechny účty a služby, které ho podporují, a přidejte tak další vrstvu zabezpečení nad rámec tradičních hesel.
  • Software Anti-Malware: Ochrana v reálném čase: Nainstalujte a udržujte důvěryhodné programy proti malwaru, které nabízejí ochranu v reálném čase a provádějí pravidelné kontroly k detekci a neutralizaci hrozeb. Aktualizace programů: Pravidelně aktualizujte tyto bezpečnostní programy, abyste zajistili, že dokážou efektivně identifikovat nové a vznikající hrozby a bojovat s nimi.
  • Postupy bezpečného prohlížení: Vyhněte se podezřelým odkazům: Zdržte se přístupu k odkazům nebo stahování příloh z neznámých nebo podezřelých e-mailů, abyste zabránili napadení malwarem. Ověření webových stránek: Ujistěte se, že přecházíte na zabezpečené a legitimní webové stránky tím, že před zadáním jakýchkoli soukromých informací zkontrolujete HTTPS v adrese URL.
  • Pravidelné zálohování: Zálohování dat: Často zálohujte důležitá data na nezávislé úložné zařízení nebo cloudovou službu, abyste minimalizovali potenciální ztrátu dat v případě útoku malwaru.
  • Konfigurace brány firewall: Ochrana sítě: Použijte bránu firewall k regulaci příchozího i odchozího síťového provozu, čímž blokujete neoprávněný přístup a zvyšujete zabezpečení sítě.
  • Uživatelská privilegia: Princip nejmenších privilegií: Namísto účtu správce operujte pomocí běžného uživatelského účtu, abyste omezili potenciální dopad malwaru na operace systému. Oddělené účty: Udržujte oddělené účty pro běžné činnosti a administrativní úkoly, abyste snížili riziko neoprávněné eskalace oprávnění.
  • Vzdělávání a povědomí: Povědomí o phishingu: Zůstaňte informováni o běžných taktikách phishingu a taktikách sociálního inženýrství, abyste snížili možnost stát se obětí takových útoků. Průběžné školení: Průběžně se zapojujte do školení a vzdělávacích zdrojů, abyste byli informováni o nejnovějších bezpečnostních hrozbách a osvědčených postupech.

Přijetím těchto osvědčených postupů mohou uživatelé výrazně posílit svou obranu proti malwarovým infekcím a dalším bezpečnostním hrozbám, čímž se zvýší celková bezpečnost a integrita systému.

Malware EDRKillShifter Video

Tip: Zapněte zvuk ON a sledovat video v režimu celé obrazovky.

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
37,940
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...