Zlonamjerni softver EDRKillShifter

Do Mezo. Malware. godine

Prevedi na:

Skupina kibernetičkog kriminala povezana s RansomHub Ransomwareom uočena je kako postavlja novi alat usmjeren na onemogućavanje softvera za otkrivanje krajnjih točaka i odgovor (EDR) na ugroženim sustavima. Stručnjaci za kibernetičku sigurnost nazvali su ovaj uslužni program za onemogućavanje EDR-a "EDRKillShifter". Alat je otkriven nakon neuspjelog pokušaja ransomwarea u svibnju 2024. EDRKillShifter sada se pridružuje drugim sličnim programima, kao što su AuKill (također poznat kao AvNeutralizer) i Terminator.

EDRKillShifter funkcionira kao izvršna datoteka 'učitavača', služeći kao mehanizam isporuke za legitiman, ali ranjiv upravljački program—ova vrsta alata obično je poznata kao 'donesite svoj vlastiti ranjivi upravljački program' (BYOVD). Ovisno o ciljevima aktera prijetnje, može rasporediti različita korisna opterećenja upravljačkog programa.

Sadržaj

Novo lice stare skupine kibernetičkog kriminala

RansomHub Ransomware za koji se vjeruje da je rebrendirana verzija Knight Ransomwar e, pojavio se u veljači 2024. Iskorištava poznate sigurnosne propuste za dobivanje početnog pristupa, implementirajući legitimne alate za udaljenu radnu površinu kao što su Atera i Splashtop za održavanje trajnog pristupa. Tek prošlog mjeseca Microsoft je otkrio da je zloglasna skupina za kibernetički kriminal Scattered Spider dodala vrste ransomwarea kao što su RansomHub i Qilin u svoj alat.

Lanac napada i rad EDRKillShiftera

Izvršena putem naredbenog retka s unosom niza zaporki, izvršna datoteka dekriptira ugrađeni resurs pod nazivom BIN i pokreće ga izravno u memoriji. Ovaj BIN resurs raspakira i izvršava završni, maskirani korisni teret temeljen na Go-u, koji iskorištava razne ranjive, legitimne upravljačke programe za dobivanje povišenih privilegija i onemogućavanje EDR softvera.

Svojstvo jezika binarne datoteke postavljeno je na ruski, što sugerira da je zlonamjerni softver kompiliran na sustavu s ruskim postavkama lokalizacije. Svi raspakirani alati za onemogućavanje EDR-a ugrađuju ranjivi upravljački program unutar odjeljka .data.

Preporuča se ažurirati sustave, omogućiti zaštitu od neovlaštenog mijenjanja u EDR softveru i održavati jake sigurnosne prakse za Windows uloge kako bi se ublažila ova prijetnja. Ovaj napad je izvediv samo ako napadač može eskalirati privilegije ili dobiti administratorska prava. Osiguravanje jasnog razdvajanja korisničkih i administratorskih povlastica može uvelike pomoći u sprječavanju napadača da lako učitaju oštećene upravljačke programe.

Kako povećati sigurnost svojih uređaja od infekcija zlonamjernim softverom?

Kako bi se poboljšala sigurnost uređaja i zaštitila od infekcija zlonamjernim softverom, korisnici se potiču da usvoje sljedeće opsežne najbolje prakse:

Redovita ažuriranja softvera: Operativni sustav: Osigurajte da se vaš operativni sustav redovito nadograđuje najnovijim sigurnosnim zakrpama i ažuriranjima za rješavanje i ispravljanje poznatih ranjivosti. Aplikacije: Redovito ažurirajte sav instalirani softver, uključujući web preglednike, dodatke i druge aplikacije, kako biste održali sigurnost i funkcionalnost.

Snažne i jedinstvene lozinke: Složenost lozinki: Stvorite složene lozinke koje kombiniraju slova, brojeve i simbole za povećanje sigurnosti. Upravljanje lozinkama: Upotrijebite uglednog upravitelja lozinkama za generiranje, pohranjivanje i upravljanje jedinstvenim lozinkama za svaki račun, čime se smanjuje rizik od kršenja lozinki.

Autentikacija u dva faktora (2FA) : Dodatna sigurnost: Implementirajte autentifikaciju u dva faktora na svim računima i uslugama koje to podržavaju, dodajući još jedan sloj sigurnosti osim tradicionalnih lozinki.

Softver protiv zlonamjernog softvera: Zaštita u stvarnom vremenu: Instalirajte i održavajte pouzdane programe protiv zlonamjernog softvera koji nude zaštitu u stvarnom vremenu i provode redovita skeniranja za otkrivanje i neutraliziranje prijetnji. Ažuriranja programa: Redovito ažurirajte ove sigurnosne programe kako biste bili sigurni da mogu identificirati nove i nove prijetnje te se učinkovito boriti protiv njih.

Prakse sigurnog pregledavanja: Izbjegavajte sumnjive veze: Suzdržite se od pristupa vezama ili preuzimanja privitaka iz nepoznatih ili sumnjivih poruka e-pošte kako biste spriječili infekcije zlonamjernim softverom. Provjerite web-mjesta: Provjerite idete li na sigurne i legitimne web-mjesta provjerom HTTPS-a u URL-u prije unosa bilo kakvih privatnih podataka.

Redovite sigurnosne kopije: Sigurnosna kopija podataka: Često sigurnosno kopirajte kritične podatke na neovisni uređaj za pohranu ili uslugu u oblaku kako biste smanjili mogući gubitak podataka u slučaju napada zlonamjernog softvera.

Konfiguracija vatrozida: Zaštita mreže: Upotrijebite vatrozid za reguliranje dolaznog i odlaznog mrežnog prometa, čime blokirate neovlašteni pristup i povećavate sigurnost mreže.

Korisničke privilegije: Načelo najmanjih privilegija: Umjesto administratorskog računa, koristite uobičajeni korisnički račun kako biste ograničili potencijalni utjecaj zlonamjernog softvera na rad sustava. Odvojeni računi: Održavajte različite račune za rutinske aktivnosti i administrativne zadatke kako biste ublažili rizik od neovlaštene eskalacije privilegija.

Obrazovanje i podizanje svijesti: Svijest o krađi identiteta: Budite informirani o uobičajenim taktikama krađe identiteta i taktikama društvenog inženjeringa kako biste umanjili mogućnost da postanete žrtva takvih napada. Trajna obuka: Kontinuirano se uključite u obuku i obrazovne resurse kako biste bili u tijeku s najnovijim sigurnosnim prijetnjama i najboljim praksama.

Usvajanjem ovih najboljih praksi, korisnici mogu značajno ojačati svoju obranu od infekcija zlonamjernim softverom i drugih sigurnosnih prijetnji, poboljšavajući ukupnu sigurnost i integritet sustava.