بدافزار EDRKillShifter

تا Mezo در Malware

ترجمه به:

یک گروه جرایم سایبری مرتبط با باج‌افزار RansomHub در حال استقرار ابزار جدیدی با هدف غیرفعال کردن نرم‌افزار تشخیص نقطه پایانی و پاسخ (EDR) در سیستم‌های در معرض خطر مشاهده شده است. کارشناسان امنیت سایبری نام این ابزار غیرفعال کننده EDR را "EDRKillShifter" گذاشته اند. این ابزار پس از یک تلاش ناموفق باج افزار در ماه مه 2024 کشف شد. EDRKillShifter اکنون به برنامه های مشابه دیگری مانند AuKill (همچنین به عنوان AvNeutralizer) و Terminator می پیوندد.

EDRKillShifter به‌عنوان یک «لودر» اجرایی عمل می‌کند و به عنوان مکانیزم تحویل برای یک راننده قانونی اما آسیب‌پذیر عمل می‌کند – این نوع ابزار معمولاً به عنوان «راننده آسیب‌پذیر خود را بیاورید» (BYOVD) شناخته می‌شود. بسته به اهداف عامل تهدید، می تواند محموله های مختلف راننده را مستقر کند.

فهرست مطالب

چهره جدید یک گروه جرایم سایبری قدیمی

RansomHub Ransomware که گمان می رود نسخه تغییر نام تجاری Knight Ransomwar e باشد، در فوریه 2024 ظاهر شد. این باج افزار از آسیب پذیری های امنیتی شناخته شده برای دستیابی به دسترسی اولیه سوء استفاده می کند و ابزارهای دسکتاپ از راه دور قانونی مانند Atera و Splashtop را برای حفظ دسترسی دائمی به کار می گیرد. همین ماه گذشته، مایکروسافت فاش کرد که گروه بدنام جرایم سایبری Scattered Spider گونه‌های باج‌افزاری مانند RansomHub و Qilin را به جعبه ابزار خود اضافه کرده است.

زنجیره حمله و عملیات EDRKillShifter

فایل اجرایی که از طریق خط فرمان با ورودی رشته رمز عبور اجرا می شود، یک منبع جاسازی شده به نام BIN را رمزگشایی کرده و مستقیماً در حافظه اجرا می کند. این منبع BIN یک بار نهایی مبهم مبتنی بر Go را باز می کند و اجرا می کند که از درایورهای آسیب پذیر و قانونی مختلف برای به دست آوردن امتیازات بالا و غیرفعال کردن نرم افزار EDR سوء استفاده می کند.

ویژگی زبان باینری روی روسی تنظیم شده است، که نشان می دهد بدافزار در سیستمی با تنظیمات بومی سازی روسی کامپایل شده است. همه ابزارهای غیرفعال‌کننده EDR یک درایور آسیب‌پذیر را در بخش .data جاسازی می‌کنند.

توصیه می شود سیستم ها را به روز نگه دارید، محافظت از دستکاری را در نرم افزار EDR فعال کنید و اقدامات امنیتی قوی برای نقش های ویندوز برای کاهش این تهدید حفظ کنید. این حمله تنها در صورتی امکان پذیر است که مهاجم بتواند امتیازات را افزایش دهد یا حقوق مدیر را به دست آورد. حصول اطمینان از تفکیک واضح بین امتیازات کاربر و مدیر می تواند به جلوگیری از بارگذاری آسان درایورهای خراب توسط مهاجمان کمک شایانی کند.

چگونه امنیت دستگاه های خود را در برابر عفونت های بدافزار افزایش دهیم؟

برای تقویت امنیت دستگاه و محافظت در برابر عفونت‌های بدافزار، کاربران تشویق می‌شوند بهترین شیوه‌های جامع زیر را اتخاذ کنند:

به روز رسانی منظم نرم افزار: سیستم عامل: اطمینان حاصل کنید که سیستم عامل شما به طور منظم با آخرین وصله های امنیتی و به روز رسانی ها برای رفع و اصلاح آسیب پذیری های شناخته شده ارتقا می یابد. برنامه ها: برای حفظ امنیت و عملکرد، به طور منظم همه نرم افزارهای نصب شده، از جمله مرورگرهای وب، افزونه ها و سایر برنامه ها را به روز کنید.

رمزهای عبور قوی و منحصر به فرد: پیچیدگی رمز عبور: رمزهای عبور پیچیده ای ایجاد کنید که حروف، اعداد و نمادها را برای افزایش امنیت ترکیب می کند. مدیریت رمز عبور: از یک مدیر رمز عبور معتبر برای تولید، ذخیره و مدیریت رمزهای عبور منحصر به فرد برای هر حساب استفاده کنید، در نتیجه خطر نقض رمز عبور را کاهش دهید.

احراز هویت دو مرحله‌ای (2FA) : امنیت اضافی: احراز هویت دو مرحله‌ای را در تمام حساب‌ها و سرویس‌هایی که از آن پشتیبانی می‌کنند، پیاده‌سازی کنید و یک لایه امنیتی بیشتر فراتر از رمزهای عبور سنتی اضافه کنید.

نرم افزار ضد بدافزار: محافظت در زمان واقعی: برنامه های ضد بدافزار قابل اعتمادی را نصب و نگهداری کنید که محافظت در زمان واقعی را ارائه می دهند و اسکن های منظم را برای شناسایی و خنثی کردن تهدیدات انجام می دهند. به روز رسانی برنامه: به طور منظم این برنامه های امنیتی را به روز کنید تا مطمئن شوید که می توانند تهدیدات جدید و نوظهور را به طور موثر شناسایی و با آنها مبارزه کنند.

روش‌های مرور ایمن: از پیوندهای مشکوک اجتناب کنید: از دسترسی به پیوندها یا دانلود پیوست‌ها از ایمیل‌های ناآشنا یا مشکوک برای جلوگیری از آلودگی بدافزار خودداری کنید. تأیید وب‌سایت‌ها: قبل از وارد کردن هرگونه اطلاعات خصوصی، با بررسی HTTPS در URL، مطمئن شوید که به وب‌سایت‌های ایمن و قانونی می‌روید.

پشتیبان‌گیری منظم: پشتیبان‌گیری از داده‌ها: به طور مکرر از داده‌های حیاتی در یک دستگاه ذخیره‌سازی مستقل یا یک سرویس ابری نسخه پشتیبان تهیه کنید تا در صورت حمله بدافزار از دست رفتن داده‌ها به حداقل برسد.

پیکربندی فایروال: حفاظت از شبکه: از یک فایروال برای تنظیم ترافیک شبکه ورودی و خروجی استفاده کنید، در نتیجه دسترسی غیرمجاز را مسدود کرده و امنیت شبکه را افزایش دهید.

امتیازات کاربر: اصل حداقل امتیاز: به جای حساب مدیر، با استفاده از یک حساب کاربری معمولی کار کنید تا تأثیر بالقوه بدافزار بر عملیات سیستم را محدود کنید. حساب‌های جداگانه: حساب‌های مجزا برای فعالیت‌های معمول و وظایف اداری برای کاهش خطر افزایش امتیازات غیرمجاز نگهداری کنید.

آموزش و آگاهی: آگاهی از فیشینگ: از تاکتیک های رایج فیشینگ و تاکتیک های مهندسی اجتماعی مطلع باشید تا احتمال قربانی شدن در چنین حملاتی را کاهش دهید. آموزش مداوم: به طور مستمر در منابع آموزشی و آموزشی شرکت کنید تا در مورد آخرین تهدیدات امنیتی و بهترین شیوه ها به روز بمانید.

با اتخاذ این بهترین شیوه ها، کاربران می توانند به طور قابل توجهی دفاع خود را در برابر عفونت های بدافزار و سایر تهدیدات امنیتی تقویت کنند و امنیت و یکپارچگی سیستم را افزایش دهند.