EDRKillShifteri pahavara

Aastaks Mezo aastal Malware

Tõlgi:

RansomHub Ransomwarega seotud küberkuritegude rühmitus on märganud uut tööriista, mille eesmärk on keelata ohustatud süsteemides lõpp-punkti tuvastamise ja reageerimise (EDR) tarkvara. Küberturvalisuse eksperdid on andnud sellele EDR-i blokeerivale utiliidile nimeks "EDRKillShifter". Tööriist avastati pärast lunavara ebaõnnestunud katset 2024. aasta mais. EDRKillShifter liitub nüüd teiste sarnaste programmidega, nagu AuKill (tuntud ka kui AvNeutralizer) ja Terminator.

EDRKillShifter toimib käivitatava laadurina, mis toimib seadusliku, kuid haavatava draiveri kohaletoimetamise mehhanismina – seda tüüpi tööriistu tuntakse tavaliselt kui „tooke oma haavatav draiver” (BYOVD). Olenevalt ohus osaleja eesmärkidest võib see kasutada erinevaid juhi kasulikke koormusi.

Sisukord

Vana küberkuritegevuse grupi uus nägu

RansomHub Ransomware arvatakse olevat Knight Ransomwar e ümbernimetatud versioon, mis ilmus 2024. aasta veebruaris. See kasutab esialgse juurdepääsu saamiseks ära teadaolevaid turvaauke, juurutades püsiva juurdepääsu säilitamiseks seaduslikke kaugtöölaua tööriistu, nagu Atera ja Splashtop. Just eelmisel kuul avalikustas Microsoft, et kurikuulus küberkuritegevuse rühmitus Scattered Spider on lisanud oma tööriistakomplekti lunavaratüved, nagu RansomHub ja Qilin.

Rünnakett ja EDRKillShifteri toimimine

Käivitatav käsurea kaudu paroolistringi sisendiga dekrüpteerib täitmisfail BIN-nimelise manustatud ressursi ja käivitab selle otse mällu. See BIN-i ressurss pakib lahti ja käivitab lõpliku Go-põhise, segatud kasuliku koormuse, mis kasutab kõrgendatud õiguste saamiseks ja EDR-tarkvara keelamiseks ära erinevaid haavatavaid seaduslikke draivereid.

Kahendfaili keeleomaduseks on seatud vene keel, mis viitab sellele, et pahavara kompileeriti venekeelsete lokaliseerimisseadetega süsteemis. Kõik lahti pakkimata EDR-i keelavad tööriistad manustavad .data jaotisesse haavatava draiveri.

Selle ohu leevendamiseks on soovitatav hoida süsteeme ajakohasena, lubada EDR-tarkvaras võltsimiskaitse ja säilitada Windowsi rollide jaoks tugevad turbetavad. See rünnak on teostatav ainult siis, kui ründaja saab õigusi suurendada või administraatori õigusi omandada. Kasutaja- ja administraatoriõiguste selge lahususe tagamine võib aidata tohutult takistada ründajatel rikutud draivereid lihtsalt laadimast.

Kuidas suurendada oma seadmete turvalisust pahavara nakkuste vastu?

Seadme turvalisuse tugevdamiseks ja pahavaraga nakatumise eest kaitsmiseks julgustatakse kasutajaid järgima järgmisi kõikehõlmavaid parimaid tavasid.

Regulaarsed tarkvaravärskendused: operatsioonisüsteem: veenduge, et teie operatsioonisüsteemi uuendataks regulaarselt uusimate turvapaikade ja värskendustega, et kõrvaldada ja kõrvaldada teadaolevad haavatavused. Rakendused: turvalisuse ja funktsionaalsuse säilitamiseks värskendage regulaarselt kogu installitud tarkvara, sealhulgas veebibrausereid, pistikprogramme ja muid rakendusi.

Tugevad ja ainulaadsed paroolid: parooli keerukus: looge turvalisuse suurendamiseks keerukaid paroole, mis kombineerivad tähti, numbreid ja sümboleid. Paroolihaldus: kasutage iga konto jaoks ainulaadsete paroolide loomiseks, salvestamiseks ja haldamiseks usaldusväärset paroolihaldurit, vähendades seeläbi parooliga seotud rikkumiste ohtu.

Kahefaktoriline autentimine (2FA) : täiendav turvalisus: rakendage kahefaktoriline autentimine kõigil seda toetavatel kontodel ja teenustel, lisades lisaks tavapärastele paroolidele veel ühe turvakihi.

Pahavaravastane tarkvara: reaalajas kaitse: installige ja hooldage usaldusväärseid pahavaravastaseid programme, mis pakuvad reaalajas kaitset ja viivad läbi regulaarseid skannimisi, et tuvastada ja neutraliseerida ohte. Programmi värskendused: värskendage neid turbeprogramme regulaarselt, et tagada uute ja esilekerkivate ohtude tõhus tuvastamine ja nende vastu võitlemine.

Ohutu sirvimise tavad: vältige kahtlasi linke: hoiduge linkidele juurde pääsemast ega võõraste või kahtlaste meilide manuste allalaadimisest, et vältida pahavara nakatumist. Veebisaitide kinnitamine: veenduge, et navigeerite turvalistele ja seaduslikele veebisaitidele, kontrollides enne privaatse teabe sisestamist URL-is HTTPS-i.

Regulaarsed varukoopiad: andmete varundamine: varundage sageli kriitilised andmed sõltumatusse salvestusseadmesse või pilveteenusesse, et minimeerida võimalikku andmekadu pahavara rünnaku korral.

Tulemüüri konfiguratsioon: võrgukaitse: kasutage tulemüüri nii sissetuleva kui ka väljamineva võrguliikluse reguleerimiseks, blokeerides sellega volitamata juurdepääsu ja suurendades võrgu turvalisust.

Kasutajaõigused: Väiksemate privileegide põhimõte: administraatori konto asemel kasutage tavalist kasutajakontot, et piirata pahavara võimalikku mõju süsteemi toimimisele. Eraldi kontod: hoidke rutiinsete tegevuste ja haldusülesannete jaoks eraldi kontosid, et vähendada volitamata privileegide eskaleerumise ohtu.

Haridus ja teadlikkus: Andmepüügiteadlikkus: olge kursis levinud andmepüügitaktikate ja sotsiaalse manipuleerimise taktikatega, et vähendada selliste rünnakute ohvriks langemise võimalust. Pidev koolitus: osalege pidevalt koolituste ja haridusressurssidega, et olla kursis uusimate turvaohtude ja parimate tavadega.

Neid parimaid tavasid rakendades saavad kasutajad märkimisväärselt tugevdada oma kaitset pahavara nakkuste ja muude turvaohtude vastu, suurendades üldist süsteemi turvalisust ja terviklikkust.