Multi-License Discount Quote
Veszély-adatbázis Malware EDRKillShifter rosszindulatú program

EDRKillShifter rosszindulatú program

Mezo -ra Malware-ben
Fordítás ide:
Magyar

A RansomHub Ransomware-hez kapcsolódó kiberbűnözési csoportot észleltek, amely egy új eszközt telepít, amelynek célja a végpont-észlelő és -válasz (EDR) szoftver letiltása a feltört rendszereken. A kiberbiztonsági szakértők ezt az EDR-t tiltó segédprogramot "EDRKillShifter"-nek nevezték el. Az eszközt egy sikertelen ransomware kísérlet után fedezték fel 2024 májusában. Az EDRKillShifter mostantól más hasonló programokhoz is csatlakozik, mint például az AuKill (más néven AvNeutralizer) és a Terminator.

Az EDRKillShifter „betöltő” végrehajtható fájlként működik, és kézbesítési mechanizmusként szolgál egy törvényes, de sebezhető illesztőprogram számára – az ilyen típusú eszközöket általában „hozd be saját sebezhető illesztőprogramodat” (BYOVD) néven. A fenyegetés szereplőjének céljaitól függően különféle illesztőprogram-terheléseket telepíthet.

Egy régi kiberbűnözési csoport új arca

A RansomHub Ransomware vélhetően a Knight Ransomwar e újramárkázott változata, 2024 februárjában jelent meg. Az ismert biztonsági réseket használja ki a kezdeti hozzáférés megszerzéséhez, és olyan legitim távoli asztali eszközöket telepít, mint az Atera és a Splashtop, hogy fenntartsa a folyamatos hozzáférést. A múlt hónapban a Microsoft nyilvánosságra hozta, hogy a hírhedt Scattered Spider kiberbűnözők csoportja olyan ransomware-törzseket adott hozzá eszköztárához, mint a RansomHub és a Qilin.

A támadási lánc és az EDRKillShifter működése

A parancssorban, jelszó karakterlánc bemenettel végrehajtott végrehajtható fájl visszafejti a BIN nevű beágyazott erőforrást, és közvetlenül a memóriában futtatja. Ez a BIN-erőforrás kicsomagolja és végrehajtja a végső Go-alapú, elhomályosított hasznos adatot, amely különféle sérülékeny, törvényes illesztőprogramokat használ fel magasabb jogosultságok megszerzésére és az EDR-szoftverek letiltására.

A bináris nyelvi tulajdonság oroszra van állítva, ami arra utal, hogy a kártevőt orosz lokalizációs beállításokkal rendelkező rendszeren fordították le. Minden kicsomagolt EDR-t tiltó eszköz egy sebezhető illesztőprogramot ágyaz be a .data szakaszba.

Javasoljuk, hogy folyamatosan frissítse a rendszereket, engedélyezze a manipuláció elleni védelmet az EDR-szoftverekben, és szigorú biztonsági gyakorlatokat tartson fenn a Windows-szerepek esetében a fenyegetés mérséklése érdekében. Ez a támadás csak akkor valósítható meg, ha a támadó kiterjesztheti a jogosultságokat vagy rendszergazdai jogokat szerezhet. A felhasználói és adminisztrátori jogosultságok egyértelmű elkülönítésének biztosítása óriási segítséget jelenthet annak megakadályozásában, hogy a támadók könnyen betöltsék a sérült illesztőprogramokat.

Hogyan növelheti eszközeinek biztonságát a rosszindulatú programok fertőzései ellen?

Az eszköz biztonságának megerősítése és a rosszindulatú programok elleni védelem érdekében a felhasználókat arra bátorítjuk, hogy alkalmazzák a következő átfogó bevált módszereket:

  • Rendszeres szoftverfrissítések: Operációs rendszer: Győződjön meg arról, hogy operációs rendszerét rendszeresen frissíti a legújabb biztonsági javításokkal és frissítésekkel az ismert sebezhetőségek kiküszöbölése és kijavítása érdekében. Alkalmazások: Rendszeresen frissítse az összes telepített szoftvert, beleértve a webböngészőket, beépülő modulokat és egyéb alkalmazásokat a biztonság és a funkcionalitás fenntartása érdekében.
  • Erős és egyedi jelszavak: Jelszavak összetettsége: Hozzon létre összetett jelszavakat, amelyek betűket, számokat és szimbólumokat kombinálnak a biztonság fokozása érdekében. Jelszókezelés: Használjon jó hírű jelszókezelőt az egyes fiókokhoz tartozó egyedi jelszavak létrehozására, tárolására és kezelésére, ezáltal csökkentve a jelszóval kapcsolatos jogsértések kockázatát.
  • Kéttényezős hitelesítés (2FA) : További biztonság: A kéttényezős hitelesítést minden olyan fiókban és szolgáltatásban alkalmazza, amely támogatja azt, így a hagyományos jelszavakon felül még egy biztonsági réteget ad hozzá.
  • Kártevőirtó szoftver: Valós idejű védelem: Telepítse és tartson fenn megbízható kártevőirtó programokat, amelyek valós idejű védelmet kínálnak, és rendszeres vizsgálatokat végeznek a fenyegetések észlelése és semlegesítése érdekében. Programfrissítések: Rendszeresen frissítse ezeket a biztonsági programokat, hogy azok hatékonyan azonosítsák és leküzdjék az új és újonnan megjelenő fenyegetéseket.
  • Biztonságos böngészési gyakorlatok: Kerülje a gyanús hivatkozásokat: A rosszindulatú programok fertőzésének megelőzése érdekében tartózkodjon a hivatkozásokhoz való hozzáféréstől vagy az ismeretlen vagy gyanús e-mailek mellékleteinek letöltésétől. Webhelyek ellenőrzése: Győződjön meg arról, hogy biztonságos és legitim webhelyekre navigál, és ellenőrizze, hogy az URL-ben található-e HTTPS, mielőtt bármilyen személyes adatot megadna.
  • Rendszeres biztonsági mentések: Adatmentés: Gyakran készítsen biztonsági mentést a kritikus adatokról egy független tárolóeszközre vagy egy felhőszolgáltatásra, hogy minimalizálja a lehetséges adatvesztést kártevő támadás esetén.
  • Tűzfal konfigurációja: Hálózatvédelem: Használjon tűzfalat a bejövő és a kimenő hálózati forgalom szabályozására, ezáltal megakadályozza az illetéktelen hozzáférést és fokozza a hálózat biztonságát.
  • Felhasználói jogosultságok: A legkisebb jogosultság elve: Rendszergazdai fiók helyett normál felhasználói fiókot használjon, hogy korlátozza a rosszindulatú programok lehetséges hatását a rendszer működésére. Külön fiókok: Tartson külön fiókokat a rutintevékenységekhez és adminisztrációs feladatokhoz, hogy csökkentse a jogosulatlan jogosultságok kiterjesztésének kockázatát.
  • Oktatás és tudatosság: Adathalászat: Legyen tájékozott a gyakori adathalász taktikákról és a szociális tervezési taktikákról, hogy csökkentse az ilyen támadások áldozatává válásának lehetőségét. Folyamatos képzés: Folyamatosan vegyen részt képzési és oktatási forrásokban, hogy naprakész maradjon a legújabb biztonsági fenyegetésekkel és legjobb gyakorlatokkal kapcsolatban.

E bevált gyakorlatok elfogadásával a felhasználók jelentősen megerősíthetik védekezésüket a rosszindulatú programokkal és más biztonsági fenyegetésekkel szemben, javítva a rendszer általános biztonságát és integritását.

EDRKillShifter rosszindulatú program videó

Tipp: Kapcsolja BE a hangot, és nézze meg a videót teljes képernyős módban .

Felkapott

Legnézettebb

„Ha Ön 18 éves, koppintson az Engedélyezés gombra”...

Fake Warning Messages
29,598
A „Ha 18 éves vagy, koppintson az Engedélyezésre” felugró ablakok olyan felugró hirdetések, amelyek a felhasználó képernyőjén jelennek meg, amikor az interneten böngészik. Ezek az előugró ablakok meglehetősen riasztóak lehetnek a felhasználók számára, mivel arra ösztönzik őket, hogy kattintson az "engedélyezés" gombra, hogy továbbra is használja a jelenleg használt webhelyet. Ezek az előugró...
Betöltés...