Κακόβουλο λογισμικό EDRKillShifter

Μέχρι το Mezo το Malware

Μετάφραση σε:

Μια ομάδα εγκλήματος στον κυβερνοχώρο που σχετίζεται με το RansomHub Ransomware έχει εντοπιστεί να αναπτύσσει ένα νέο εργαλείο που στοχεύει στην απενεργοποίηση του λογισμικού εντοπισμού και απόκρισης τελικού σημείου (EDR) σε παραβιασμένα συστήματα. Οι ειδικοί στον τομέα της κυβερνοασφάλειας ονόμασαν αυτό το βοηθητικό πρόγραμμα απενεργοποίησης EDR "EDRKillShifter". Το εργαλείο ανακαλύφθηκε μετά από μια αποτυχημένη προσπάθεια ransomware τον Μάιο του 2024. Το EDRKillShifter τώρα εντάσσεται σε άλλα παρόμοια προγράμματα, όπως το AuKill (γνωστό και ως AvNeutralizer) και το Terminator.

Το EDRKillShifter λειτουργεί ως εκτελέσιμο «φορτωτή», που χρησιμεύει ως μηχανισμός παράδοσης για ένα νόμιμο αλλά ευάλωτο πρόγραμμα οδήγησης—αυτός ο τύπος εργαλείου είναι συνήθως γνωστός ως «φέρτε το δικό σας ευάλωτο πρόγραμμα οδήγησης» (BYOVD). Ανάλογα με τους στόχους του παράγοντα απειλής, μπορεί να αναπτύξει διάφορα ωφέλιμα φορτία οδηγού.

Πίνακας περιεχομένων

Νέο πρόσωπο μιας παλιάς ομάδας εγκλήματος στον κυβερνοχώρο

Το RansomHub Ransomware που πιστεύεται ότι είναι μια ανανεωμένη έκδοση του Knight Ransomwar e, εμφανίστηκε τον Φεβρουάριο του 2024. Εκμεταλλεύεται γνωστά τρωτά σημεία ασφαλείας για να αποκτήσει αρχική πρόσβαση, αναπτύσσοντας νόμιμα εργαλεία απομακρυσμένης επιφάνειας εργασίας όπως το Atera και το Splashtop για να διατηρεί σταθερή πρόσβαση. Μόλις τον περασμένο μήνα, η Microsoft αποκάλυψε ότι η διαβόητη ομάδα εγκλήματος στον κυβερνοχώρο Scattered Spider έχει προσθέσει στελέχη ransomware όπως το RansomHub και το Qilin στην εργαλειοθήκη της.

Αλυσίδα επίθεσης και λειτουργία του EDRKillShifter

Εκτελούμενο μέσω της γραμμής εντολών με εισαγωγή συμβολοσειράς κωδικού πρόσβασης, το εκτελέσιμο αποκρυπτογραφεί έναν ενσωματωμένο πόρο που ονομάζεται BIN και τον εκτελεί απευθείας στη μνήμη. Αυτός ο πόρος BIN αποσυσκευάζει και εκτελεί ένα τελικό ωφέλιμο φορτίο που βασίζεται στο Go, το οποίο εκμεταλλεύεται διάφορα ευάλωτα, νόμιμα προγράμματα οδήγησης για να αποκτήσει αυξημένα προνόμια και να απενεργοποιήσει το λογισμικό EDR.

Η ιδιότητα γλώσσας του δυαδικού αρχείου έχει οριστεί στα Ρωσικά, υποδηλώνοντας ότι το κακόβουλο λογισμικό έχει μεταγλωττιστεί σε ένα σύστημα με ρυθμίσεις τοπικής προσαρμογής στα ρωσικά. Όλα τα μη συσκευασμένα εργαλεία απενεργοποίησης EDR ενσωματώνουν ένα ευάλωτο πρόγραμμα οδήγησης στην ενότητα .data.

Συνιστάται η ενημέρωση των συστημάτων, η ενεργοποίηση της προστασίας από παραβιάσεις στο λογισμικό EDR και η διατήρηση ισχυρών πρακτικών ασφαλείας για τους ρόλους των Windows για τον μετριασμό αυτής της απειλής. Αυτή η επίθεση είναι εφικτή μόνο εάν ο εισβολέας μπορεί να κλιμακώσει τα προνόμια ή να αποκτήσει δικαιώματα διαχειριστή. Η διασφάλιση ενός σαφούς διαχωρισμού μεταξύ των δικαιωμάτων χρήστη και διαχειριστή μπορεί να βοηθήσει εξαιρετικά στην αποτροπή των εισβολέων από το να φορτώνουν εύκολα κατεστραμμένα προγράμματα οδήγησης.

Πώς να ενισχύσετε την ασφάλεια των συσκευών σας έναντι μολύνσεων από κακόβουλο λογισμικό;

Για την ενίσχυση της ασφάλειας της συσκευής και την προστασία από μολύνσεις από κακόβουλο λογισμικό, οι χρήστες ενθαρρύνονται να υιοθετήσουν τις ακόλουθες ολοκληρωμένες βέλτιστες πρακτικές:

Τακτικές ενημερώσεις λογισμικού: Λειτουργικό σύστημα: Βεβαιωθείτε ότι το λειτουργικό σας σύστημα αναβαθμίζεται τακτικά με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας και ενημερώσεις για την αντιμετώπιση και τη διόρθωση γνωστών τρωτών σημείων. Εφαρμογές: Ενημερώνετε τακτικά όλο το εγκατεστημένο λογισμικό, συμπεριλαμβανομένων των προγραμμάτων περιήγησης στο Web, των προσθηκών και άλλων εφαρμογών, για να διατηρείτε την ασφάλεια και τη λειτουργικότητα.

Ισχυροί και μοναδικοί κωδικοί πρόσβασης: Πολυπλοκότητα κωδικού πρόσβασης: Δημιουργήστε σύνθετους κωδικούς πρόσβασης που συνδυάζουν γράμματα, αριθμούς και σύμβολα για να βελτιώσετε την ασφάλεια. Διαχείριση κωδικών πρόσβασης: Χρησιμοποιήστε έναν αξιόπιστο διαχειριστή κωδικών πρόσβασης για τη δημιουργία, αποθήκευση και διαχείριση μοναδικών κωδικών πρόσβασης για κάθε λογαριασμό, μειώνοντας έτσι τον κίνδυνο παραβιάσεων που σχετίζονται με τον κωδικό πρόσβασης.

Έλεγχος ταυτότητας δύο παραγόντων (2FA) : Πρόσθετη ασφάλεια: Εφαρμόστε έλεγχο ταυτότητας δύο παραγόντων σε όλους τους λογαριασμούς και τις υπηρεσίες που τον υποστηρίζουν, προσθέτοντας ένα ακόμη επίπεδο ασφάλειας πέρα από τους παραδοσιακούς κωδικούς πρόσβασης.

Λογισμικό κατά του κακόβουλου λογισμικού: Προστασία σε πραγματικό χρόνο: Εγκαταστήστε και διατηρήστε αξιόπιστα προγράμματα κατά του κακόβουλου λογισμικού που προσφέρουν προστασία σε πραγματικό χρόνο και πραγματοποιούν τακτικές σαρώσεις για τον εντοπισμό και την εξουδετέρωση απειλών. Ενημερώσεις προγραμμάτων: Ενημερώνετε τακτικά αυτά τα προγράμματα ασφαλείας για να διασφαλίζετε ότι μπορούν να εντοπίζουν και να καταπολεμούν αποτελεσματικά νέες και αναδυόμενες απειλές.

Πρακτικές ασφαλούς περιήγησης: Αποφύγετε ύποπτους συνδέσμους: Αποφύγετε την πρόσβαση σε συνδέσμους ή τη λήψη συνημμένων από άγνωστα ή ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου για να αποτρέψετε μολύνσεις από κακόβουλο λογισμικό. Επαλήθευση ιστοτόπων: Βεβαιωθείτε ότι πλοηγείστε σε ασφαλείς και νόμιμους ιστότοπους ελέγχοντας για HTTPS στη διεύθυνση URL προτού εισαγάγετε τυχόν ιδιωτικές πληροφορίες.

Τακτικά αντίγραφα ασφαλείας: Δημιουργία αντιγράφων ασφαλείας δεδομένων: Δημιουργήστε συχνά αντίγραφα ασφαλείας κρίσιμων δεδομένων σε μια ανεξάρτητη συσκευή αποθήκευσης ή μια υπηρεσία cloud για να ελαχιστοποιήσετε την πιθανή απώλεια δεδομένων σε περίπτωση επίθεσης κακόβουλου λογισμικού.

Διαμόρφωση τείχους προστασίας: Προστασία δικτύου: Χρησιμοποιήστε ένα τείχος προστασίας για τη ρύθμιση τόσο της εισερχόμενης όσο και της εξερχόμενης κυκλοφορίας δικτύου, εμποδίζοντας έτσι τη μη εξουσιοδοτημένη πρόσβαση και ενισχύοντας την ασφάλεια του δικτύου.

Προνόμια χρήστη: Αρχή ελάχιστου προνομίου: Αντί για λογαριασμό διαχειριστή, λειτουργήστε χρησιμοποιώντας έναν κανονικό λογαριασμό χρήστη για να περιορίσετε την πιθανή επίδραση κακόβουλου λογισμικού στις λειτουργίες του συστήματος. Ξεχωριστοί λογαριασμοί: Διατηρήστε διακριτούς λογαριασμούς για συνήθεις δραστηριότητες και διοικητικές εργασίες για να μετριαστεί ο κίνδυνος μη εξουσιοδοτημένης κλιμάκωσης των προνομίων.

Εκπαίδευση και ευαισθητοποίηση: Συνειδητοποίηση phishing: Μείνετε ενημερωμένοι σχετικά με τις κοινές τακτικές ηλεκτρονικού ψαρέματος και τις τακτικές κοινωνικής μηχανικής για να μειώσετε την πιθανότητα να πέσετε θύματα τέτοιων επιθέσεων. Συνεχής Εκπαίδευση: Συνεχίστε να συμμετέχετε σε εκπαιδευτικούς και εκπαιδευτικούς πόρους για να παραμένετε ενημερωμένοι σχετικά με τις πιο πρόσφατες απειλές ασφαλείας και τις βέλτιστες πρακτικές.

Με την υιοθέτηση αυτών των βέλτιστων πρακτικών, οι χρήστες μπορούν να ενισχύσουν σημαντικά την άμυνά τους έναντι μολύνσεων από κακόβουλο λογισμικό και άλλες απειλές ασφαλείας, ενισχύοντας τη συνολική ασφάλεια και ακεραιότητα του συστήματος.