EDRKillShifter मैलवेयर

Mezo से Malware तक

अनुवाद करने के लिए:

रैनसमहब रैनसमवेयर से जुड़े एक साइबर क्राइम समूह को एक नया टूल तैनात करते हुए देखा गया है जिसका उद्देश्य समझौता किए गए सिस्टम पर एंडपॉइंट डिटेक्शन और रिस्पॉन्स (EDR) सॉफ़्टवेयर को अक्षम करना है। साइबर सुरक्षा विशेषज्ञों ने इस EDR-अक्षम करने वाली उपयोगिता का नाम "EDRKillShifter" रखा है। मई 2024 में एक असफल रैनसमवेयर प्रयास के बाद इस टूल की खोज की गई थी। EDRKillShifter अब AuKill (जिसे AvNeutralizer के नाम से भी जाना जाता है) और Terminator जैसे अन्य समान कार्यक्रमों में शामिल हो गया है।

EDRKillShifter एक 'लोडर' निष्पादन योग्य के रूप में कार्य करता है, जो वैध लेकिन कमजोर ड्राइवर के लिए डिलीवरी तंत्र के रूप में कार्य करता है - इस प्रकार के उपकरण को आम तौर पर 'अपना खुद का कमजोर ड्राइवर लाओ' (BYOVD) के रूप में जाना जाता है। खतरे वाले अभिनेता के उद्देश्यों के आधार पर, यह विभिन्न ड्राइवर पेलोड तैनात कर सकता है।

विषयसूची

पुराने साइबर अपराध समूह का नया चेहरा

माना जा रहा है कि रैनसमहब रैनसमवेयर नाइट रैनसमवेयर का रीब्रांडेड संस्करण है, जो फरवरी 2024 में सामने आया था। यह प्रारंभिक पहुँच प्राप्त करने के लिए ज्ञात सुरक्षा कमज़ोरियों का फ़ायदा उठाता है, लगातार पहुँच बनाए रखने के लिए एटेरा और स्प्लैशटॉप जैसे वैध रिमोट डेस्कटॉप टूल का इस्तेमाल करता है। पिछले महीने ही, Microsoft ने खुलासा किया कि कुख्यात साइबर क्राइम समूह स्कैटर्ड स्पाइडर ने अपने टूलकिट में रैनसमहब और किलिन जैसे रैनसमवेयर स्ट्रेन जोड़े हैं।

हमला श्रृंखला और EDRKillShifter का संचालन

पासवर्ड स्ट्रिंग इनपुट के साथ कमांड लाइन के माध्यम से निष्पादित, निष्पादन योग्य BIN नामक एक एम्बेडेड संसाधन को डिक्रिप्ट करता है और इसे सीधे मेमोरी में चलाता है। यह BIN संसाधन एक अंतिम गो-आधारित, अस्पष्ट पेलोड को अनपैक और निष्पादित करता है, जो उन्नत विशेषाधिकार प्राप्त करने और EDR सॉफ़्टवेयर को अक्षम करने के लिए विभिन्न कमजोर, वैध ड्राइवरों का शोषण करता है।

बाइनरी की भाषा संपत्ति रूसी पर सेट है, जो यह सुझाव देती है कि मैलवेयर रूसी स्थानीयकरण सेटिंग्स वाले सिस्टम पर संकलित किया गया था। सभी अनपैक किए गए EDR-अक्षम करने वाले उपकरण .data अनुभाग के भीतर एक असुरक्षित ड्राइवर को एम्बेड करते हैं।

इस खतरे को कम करने के लिए सिस्टम को अपडेट रखना, EDR सॉफ़्टवेयर में छेड़छाड़ सुरक्षा सक्षम करना और Windows भूमिकाओं के लिए मज़बूत सुरक्षा अभ्यास बनाए रखना अनुशंसित है। यह हमला तभी संभव है जब हमलावर विशेषाधिकारों को बढ़ा सकता है या व्यवस्थापक अधिकार प्राप्त कर सकता है। उपयोगकर्ता और व्यवस्थापक विशेषाधिकारों के बीच स्पष्ट अलगाव सुनिश्चित करने से हमलावरों को आसानी से दूषित ड्राइवर लोड करने से रोकने में काफ़ी मदद मिल सकती है।

मैलवेयर संक्रमण के विरुद्ध अपने डिवाइस की सुरक्षा कैसे बढ़ाएं?

डिवाइस सुरक्षा को मजबूत करने और मैलवेयर संक्रमण से बचाने के लिए, उपयोगकर्ताओं को निम्नलिखित व्यापक सर्वोत्तम प्रथाओं को अपनाने के लिए प्रोत्साहित किया जाता है:

नियमित सॉफ़्टवेयर अपडेट: ऑपरेटिंग सिस्टम: सुनिश्चित करें कि आपके ऑपरेटिंग सिस्टम को नियमित रूप से नवीनतम सुरक्षा पैच और अपडेट के साथ अपग्रेड किया जाता है ताकि ज्ञात कमज़ोरियों को संबोधित और सुधारा जा सके। अनुप्रयोग: सुरक्षा और कार्यक्षमता बनाए रखने के लिए वेब ब्राउज़र, प्लगइन और अन्य अनुप्रयोगों सहित सभी इंस्टॉल किए गए सॉफ़्टवेयर को नियमित रूप से अपडेट करें।

मजबूत और अद्वितीय पासवर्ड: पासवर्ड जटिलता: सुरक्षा बढ़ाने के लिए अक्षरों, संख्याओं और प्रतीकों को मिलाकर जटिल पासवर्ड बनाएँ। पासवर्ड प्रबंधन: प्रत्येक खाते के लिए अद्वितीय पासवर्ड बनाने, संग्रहीत करने और प्रबंधित करने के लिए एक प्रतिष्ठित पासवर्ड प्रबंधक का उपयोग करें, जिससे पासवर्ड से संबंधित उल्लंघनों का जोखिम कम हो।

दो-कारक प्रमाणीकरण (2FA) : अतिरिक्त सुरक्षा: इसका समर्थन करने वाले सभी खातों और सेवाओं पर दो-कारक प्रमाणीकरण लागू करें, जिससे पारंपरिक पासवर्ड के अलावा सुरक्षा की एक और परत जुड़ जाएगी।

एंटी-मैलवेयर सॉफ़्टवेयर: रीयल-टाइम सुरक्षा: विश्वसनीय एंटी-मैलवेयर प्रोग्राम इंस्टॉल करें और बनाए रखें जो रीयल-टाइम सुरक्षा प्रदान करते हैं और खतरों का पता लगाने और उन्हें बेअसर करने के लिए नियमित स्कैन करते हैं। प्रोग्राम अपडेट: इन सुरक्षा कार्यक्रमों को नियमित रूप से अपडेट करें ताकि यह सुनिश्चित हो सके कि वे नए और उभरते खतरों को प्रभावी ढंग से पहचान सकें और उनका मुकाबला कर सकें।

सुरक्षित ब्राउज़िंग अभ्यास: संदिग्ध लिंक से बचें: मैलवेयर संक्रमण को रोकने के लिए अपरिचित या संदिग्ध ईमेल से लिंक एक्सेस करने या अटैचमेंट डाउनलोड करने से बचें। वेबसाइट सत्यापित करें: कोई भी निजी जानकारी दर्ज करने से पहले URL में HTTPS की जाँच करके सुनिश्चित करें कि आप सुरक्षित और वैध वेबसाइट पर नेविगेट कर रहे हैं।

नियमित बैकअप: डेटा बैकअप: मैलवेयर हमले की स्थिति में संभावित डेटा हानि को कम करने के लिए महत्वपूर्ण डेटा का एक स्वतंत्र भंडारण डिवाइस या क्लाउड सेवा पर नियमित रूप से बैकअप लें।

फ़ायरवॉल कॉन्फ़िगरेशन: नेटवर्क सुरक्षा: आने वाले और बाहर जाने वाले नेटवर्क ट्रैफ़िक को विनियमित करने के लिए फ़ायरवॉल का उपयोग करें, जिससे अनधिकृत पहुंच को रोका जा सके और नेटवर्क सुरक्षा को बढ़ाया जा सके।

उपयोगकर्ता विशेषाधिकार: न्यूनतम विशेषाधिकार सिद्धांत: सिस्टम संचालन पर मैलवेयर के संभावित प्रभाव को सीमित करने के लिए व्यवस्थापक खाते के बजाय, नियमित उपयोगकर्ता खाते का उपयोग करके संचालन करें। अलग खाते: अनधिकृत विशेषाधिकार वृद्धि के जोखिम को कम करने के लिए नियमित गतिविधियों और प्रशासनिक कार्यों के लिए अलग-अलग खाते बनाए रखें।

शिक्षा और जागरूकता: फ़िशिंग जागरूकता: ऐसे हमलों का शिकार होने की संभावना को कम करने के लिए आम फ़िशिंग रणनीति और सोशल इंजीनियरिंग रणनीति के बारे में जानकारी रखें। चल रहा प्रशिक्षण: नवीनतम सुरक्षा खतरों और सर्वोत्तम प्रथाओं पर अपडेट रहने के लिए लगातार प्रशिक्षण और शैक्षिक संसाधनों में संलग्न रहें।

इन सर्वोत्तम प्रथाओं को अपनाकर, उपयोगकर्ता मैलवेयर संक्रमण और अन्य सुरक्षा खतरों के विरुद्ध अपनी सुरक्षा को महत्वपूर्ण रूप से मजबूत कर सकते हैं, जिससे समग्र सिस्टम सुरक्षा और अखंडता में वृद्धि होगी।