EDRKillShifter 맬웨어

Malware년에 Mezo 년까지

번역 :

RansomHub 랜섬웨어와 관련된 사이버 범죄 그룹이 손상된 시스템에서 엔드포인트 탐지 및 대응(EDR) 소프트웨어를 비활성화하는 것을 목표로 하는 새로운 도구를 배포하는 것이 발견되었습니다. 사이버 보안 전문가들은 이 EDR 비활성화 유틸리티를 "EDRKillShifter"라고 명명했습니다. 이 도구는 2024년 5월 랜섬웨어 시도가 실패한 후 발견되었습니다. EDRKillShifter는 이제 AuKill (AvNeutralizer라고도 함) 및 Terminator와 같은 다른 유사한 프로그램에 합류했습니다.

EDRKillShifter는 '로더' 실행 파일로 기능하여 합법적이지만 취약한 드라이버에 대한 전달 메커니즘 역할을 합니다. 이러한 유형의 도구는 일반적으로 'Bring Your Own Vulnerable Driver'(BYOVD)로 알려져 있습니다. 위협 행위자의 목표에 따라 다양한 드라이버 페이로드를 배포할 수 있습니다.

오래된 사이버범죄 조직의 새로운 얼굴

RansomHub 랜섬웨어는 Knight Ransomwar e의 리브랜딩 버전으로 여겨지며, 2024년 2월에 등장했습니다. 알려진 보안 취약점을 악용하여 초기 액세스를 얻고, Atera 및 Splashtop과 같은 합법적인 원격 데스크톱 도구를 배포하여 지속적인 액세스를 유지합니다. 지난달에 Microsoft는 악명 높은 사이버 범죄 그룹 Scattered Spider가 RansomHub 및 Qilin과 같은 랜섬웨어 변종을 툴킷에 추가했다고 공개했습니다.

EDRKillShifter의 공격 체인 및 작동

암호 문자열 입력을 통해 명령줄을 통해 실행되는 실행 파일은 BIN이라는 임베디드 리소스를 복호화하고 메모리에서 직접 실행합니다. 이 BIN 리소스는 다양한 취약하고 합법적인 드라이버를 악용하여 권한을 상승시키고 EDR 소프트웨어를 비활성화하는 최종 Go 기반 난독화된 페이로드를 압축 해제하고 실행합니다.

이 바이너리의 언어 속성은 러시아어로 설정되어 있어, 이 맬웨어가 러시아어 현지화 설정이 있는 시스템에서 컴파일되었음을 시사합니다. 압축 해제된 모든 EDR 비활성화 도구는 .data 섹션 내에 취약한 드라이버를 내장합니다.

이 위협을 완화하기 위해 시스템을 최신 상태로 유지하고, EDR 소프트웨어에서 변조 방지를 활성화하고, Windows 역할에 대한 강력한 보안 관행을 유지하는 것이 좋습니다. 이 공격은 공격자가 권한을 상승시키거나 관리자 권한을 얻을 수 있는 경우에만 가능합니다. 사용자 권한과 관리자 권한을 명확하게 분리하면 공격자가 손상된 드라이버를 쉽게 로드하는 것을 방지하는 데 큰 도움이 될 수 있습니다.

맬웨어 감염으로부터 기기의 보안을 강화하는 방법은?

기기 보안을 강화하고 맬웨어 감염으로부터 보호하기 위해 사용자는 다음과 같은 포괄적인 모범 사례를 채택하는 것이 좋습니다.

정기적인 소프트웨어 업데이트: 운영 체제: 운영 체제가 최신 보안 패치 및 업데이트로 정기적으로 업그레이드되어 알려진 취약성을 해결하고 수정되도록 합니다. 애플리케이션: 웹 브라우저, 플러그인 및 기타 애플리케이션을 포함하여 설치된 모든 소프트웨어를 정기적으로 업데이트하여 보안과 기능을 유지합니다.

강력하고 고유한 비밀번호: 비밀번호 복잡성: 문자, 숫자, 기호를 결합한 복잡한 비밀번호를 만들어 보안을 강화합니다. 비밀번호 관리: 평판 좋은 비밀번호 관리자를 활용하여 각 계정에 대한 고유한 비밀번호를 생성, 저장, 관리하여 비밀번호 관련 침해 위험을 줄입니다.

2단계 인증(2FA) : 보안 강화: 모든 계정과 이를 지원하는 서비스에 2단계 인증을 구현하여 기존 비밀번호보다 보안 계층을 하나 더 추가합니다.

안티 맬웨어 소프트웨어: 실시간 보호: 실시간 보호를 제공하고 위협을 탐지하고 무력화하기 위해 정기적인 검사를 수행하는 신뢰할 수 있는 안티 맬웨어 프로그램을 설치하고 유지 관리합니다. 프로그램 업데이트: 이러한 보안 프로그램을 정기적으로 업데이트하여 새롭고 떠오르는 위협을 효과적으로 식별하고 대처할 수 있도록 합니다.

안전한 브라우징 관행: 의심스러운 링크 피하기: 맬웨어 감염을 방지하기 위해 익숙하지 않거나 의심스러운 이메일의 링크에 액세스하거나 첨부 파일을 다운로드하지 마십시오. 웹사이트 확인: 개인 정보를 입력하기 전에 URL에 HTTPS가 있는지 확인하여 안전하고 합법적인 웹사이트로 이동하고 있는지 확인하십시오.

정기적 백업: 데이터 백업: 맬웨어 공격이 발생할 경우 잠재적인 데이터 손실을 최소화하기 위해 중요한 데이터를 독립형 저장 장치나 클라우드 서비스에 자주 백업하세요.

방화벽 구성: 네트워크 보호: 방화벽을 사용하여 들어오고 나가는 네트워크 트래픽을 모두 규제함으로써 무단 액세스를 차단하고 네트워크 보안을 강화합니다.

사용자 권한: 최소 권한 원칙: 관리자 계정 대신 일반 사용자 계정을 사용하여 시스템 운영에 대한 맬웨어의 잠재적 영향을 제한합니다. 별도의 계정: 일상적인 활동과 관리 작업을 위한 별도의 계정을 유지하여 무단 권한 상승의 위험을 완화합니다.

교육 및 인식: 피싱 인식: 일반적인 피싱 전술과 소셜 엔지니어링 전술에 대해 계속 알고 있으면 이러한 공격의 희생자가 될 가능성을 줄일 수 있습니다. 지속적인 교육: 최신 보안 위협과 모범 사례에 대한 최신 정보를 유지하기 위해 지속적으로 교육 및 교육 리소스에 참여합니다.

이러한 모범 사례를 채택함으로써 사용자는 맬웨어 감염 및 기타 보안 위협에 대한 방어력을 크게 강화하여 전반적인 시스템 보안과 무결성을 향상할 수 있습니다.