Multi-License Discount Quote
Trusseldatabase Malware EDRKillShifter Malware

EDRKillShifter Malware

Med Mezo i Malware
Oversæt til:
Dansk

En cyberkriminalitetsgruppe tilknyttet RansomHub Ransomware er blevet set i gang med at implementere et nyt værktøj, der har til formål at deaktivere endpoint detection and response (EDR) software på kompromitterede systemer. Cybersikkerhedseksperter har kaldt dette EDR-deaktiverende hjælpeprogram "EDRKillShifter." Værktøjet blev opdaget efter et mislykket ransomware-forsøg i maj 2024. EDRKillShifter slutter sig nu til andre lignende programmer, såsom AuKill (også kendt som AvNeutralizer) og Terminator.

EDRKillShifter fungerer som en "loader" eksekverbar, der fungerer som en leveringsmekanisme for en legitim, men sårbar chauffør - denne type værktøj er typisk kendt som en 'bring your own vulnerable driver' (BYOVD). Afhængigt af trusselsaktørens mål kan den implementere forskellige drivernyttelaster.

Nyt ansigt for en gammel cyberkriminalitetsgruppe

RansomHub Ransomware , der menes at være en omdøbt version af Knight Ransomwar e, dukkede op i februar 2024. Den udnytter kendte sikkerhedssårbarheder til at få indledende adgang, og implementerer legitime fjernskrivebordsværktøjer som Atera og Splashtop for at opretholde vedvarende adgang. I sidste måned afslørede Microsoft, at den berygtede cyberkriminalitetsgruppe Scattered Spider har tilføjet ransomware-stammer som RansomHub og Qilin til sit værktøjssæt.

Angrebskæde og drift af EDRillShifter

Eksekveret via kommandolinjen med en adgangskodestreng-input, dekrypterer den eksekverbare en indlejret ressource ved navn BIN og kører den direkte i hukommelsen. Denne BIN-ressource udpakker og udfører en sidste Go-baseret, sløret nyttelast, som udnytter forskellige sårbare, legitime drivere til at opnå forhøjede rettigheder og deaktivere EDR-software.

Den binære sprogegenskab er indstillet til russisk, hvilket tyder på, at malwaren blev kompileret på et system med russiske lokaliseringsindstillinger. Alle udpakkede EDR-deaktiverende værktøjer integrerer en sårbar driver i .data-sektionen.

Det anbefales at holde systemerne opdaterede, aktivere manipulationsbeskyttelse i EDR-software og opretholde stærk sikkerhedspraksis for Windows-roller for at afbøde denne trussel. Dette angreb er kun muligt, hvis angriberen kan eskalere privilegier eller opnå administratorrettigheder. At sikre en klar adskillelse mellem bruger- og administratorrettigheder kan hjælpe enormt med at forhindre angribere i nemt at indlæse beskadigede drivere.

Hvordan øger du sikkerheden på dine enheder mod malware-infektioner?

For at styrke enhedssikkerheden og beskytte mod malwareinfektioner opfordres brugerne til at anvende følgende omfattende bedste praksis:

  • Regelmæssige softwareopdateringer: Operativsystem: Sørg for, at dit operativsystem regelmæssigt opgraderes med de seneste sikkerhedsrettelser og opdateringer for at adressere og rette kendte sårbarheder. Applikationer: Opdater regelmæssigt al installeret software, inklusive webbrowsere, plugins og andre applikationer, for at opretholde sikkerhed og funktionalitet.
  • Stærke og unikke adgangskoder: Adgangskodekompleksitet: Skab komplekse adgangskoder, der kombinerer bogstaver, tal og symboler for at øge sikkerheden. Adgangskodestyring: Brug en velrenommeret adgangskodeadministrator til at generere, gemme og administrere unikke adgangskoder for hver konto, og derved reducere risikoen for adgangskoderelaterede brud.
  • To-faktor-autentificering (2FA) : Yderligere sikkerhed: Implementer to-faktor-godkendelse på alle konti og tjenester, der understøtter det, og tilføjer endnu et lag af sikkerhed ud over traditionelle adgangskoder.
  • Anti-Malware-software: Realtidsbeskyttelse: Installer og vedligehold pålidelige anti-malware-programmer, der tilbyder realtidsbeskyttelse og udfører regelmæssige scanninger for at opdage og neutralisere trusler. Programopdateringer: Opdater regelmæssigt disse sikkerhedsprogrammer for at sikre, at de effektivt kan identificere og bekæmpe nye og nye trusler.
  • Praksis for sikker browsing: Undgå mistænkelige links: Undgå at få adgang til links eller downloade vedhæftede filer fra ukendte eller mistænkelige e-mails for at forhindre malwareinfektioner. Bekræft websteder: Sørg for, at du navigerer til sikre og legitime websteder ved at tjekke for HTTPS i URL'en, før du indtaster private oplysninger.
  • Regelmæssige sikkerhedskopier: Datasikkerhedskopiering: Sikkerhedskopier ofte kritiske data til en uafhængig lagerenhed eller en skytjeneste for at minimere potentielt datatab i tilfælde af et malwareangreb.
  • Firewall-konfiguration: Netværksbeskyttelse: Brug en firewall til at regulere både indgående og udgående netværkstrafik og derved blokere uautoriseret adgang og forbedre netværkssikkerheden.
  • Brugerprivilegier: Mindst privilegerede princip: I stedet for en administratorkonto skal du bruge en almindelig brugerkonto for at begrænse den potentielle indvirkning af malware på systemdriften. Separate konti: Oprethold særskilte konti for rutineaktiviteter og administrative opgaver for at mindske risikoen for uautoriseret eskalering af rettigheder.
  • Uddannelse og bevidsthed: Phishing-bevidsthed: Hold dig informeret om almindelige phishing-taktik og social engineering-taktikker for at mindske muligheden for at blive ofre for sådanne angreb. Løbende træning: Deltag løbende i trænings- og uddannelsesressourcer for at forblive opdateret på de seneste sikkerhedstrusler og bedste praksis.

Ved at anvende disse bedste praksisser kan brugere styrke deres forsvar mod malwareinfektioner og andre sikkerhedstrusler betydeligt, hvilket forbedrer den overordnede systemsikkerhed og integritet.

EDRKillShifter Malware Video

Tip: Gør din lyd ON og se videoen i fuldskærmstilstand.

Trending

Mest sete

Indlæser...