Multi-License Discount Quote
Grėsmių duomenų bazė Malware EDRKillShifter kenkėjiška programa

EDRKillShifter kenkėjiška programa

Autorius Mezo, Malware
Versti į:
Lietuvių

Buvo pastebėta, kad su RansomHub Ransomware susijusi elektroninių nusikaltimų grupė diegia naują įrankį, skirtą išjungti galinių taškų aptikimo ir atsako (EDR) programinę įrangą pažeistose sistemose. Kibernetinio saugumo ekspertai šią EDR išjungiančią priemonę pavadino „EDRKillShifter“. Įrankis buvo aptiktas po nesėkmingo ransomware bandymo 2024 m. gegužę. EDRKillShifter dabar prisijungia prie kitų panašių programų, tokių kaip AuKill (taip pat žinomas kaip AvNeutralizer) ir Terminator.

„EDRKillShifter“ veikia kaip „kroviklio“ vykdomasis failas, tarnaujantis kaip teisėtos, bet pažeidžiamos tvarkyklės pristatymo mechanizmas – tokio tipo įrankis paprastai vadinamas „atsinešk savo pažeidžiamą tvarkyklę“ (BYOVD). Priklausomai nuo grėsmės veikėjo tikslų, jis gali panaudoti įvairius vairuotojo naudingus krovinius.

Naujas senos elektroninių nusikaltimų grupės veidas

Manoma, kad „ RansomHub Ransomware“ yra pakeista „Knight Ransomwar e“ versija, kuri pasirodė 2024 m. vasario mėn. Ji išnaudoja žinomas saugumo spragas, kad gautų pradinę prieigą, diegia teisėtus nuotolinio darbalaukio įrankius, tokius kaip „Atera“ ir „Splashtop“, kad išlaikytų nuolatinę prieigą. Dar praėjusį mėnesį „Microsoft“ atskleidė, kad liūdnai pagarsėjusi elektroninių nusikaltimų grupė „Scattered Spider“ į savo įrankių rinkinį įtraukė išpirkos reikalaujančių programų padermių, tokių kaip „RansomHub“ ir „Qilin“.

Atakos grandinė ir EDRKillShifter veikimas

Vykdomas per komandinę eilutę su slaptažodžio eilutės įvestimi, vykdomasis failas iššifruoja įterptąjį šaltinį, pavadintą BIN, ir paleidžia jį tiesiai atmintyje. Šis BIN išteklius išpakuoja ir vykdo galutinį Go pagrįstą, užmaskuotą naudingą apkrovą, kuri išnaudoja įvairias pažeidžiamas, teisėtas tvarkykles, kad įgytų aukštesnių privilegijų ir išjungtų EDR programinę įrangą.

Dvejetainės kalbos ypatybė nustatyta į rusų kalbą, o tai rodo, kad kenkėjiška programa buvo sudaryta sistemoje su rusiškais lokalizacijos nustatymais. Visi išpakuoti EDR išjungimo įrankiai į .data skyrių įterpia pažeidžiamą tvarkyklę.

Norint sumažinti šią grėsmę, rekomenduojama nuolat atnaujinti sistemas, įjungti EDR programinės įrangos apsaugą nuo klastojimo ir laikytis griežtos „Windows“ vaidmenų saugos praktikos. Ši ataka įmanoma tik tuo atveju, jei užpuolikas gali išplėsti privilegijas arba įgyti administratoriaus teises. Aiškus vartotojo ir administratoriaus teisių atskyrimas gali labai padėti užkirsti kelią užpuolikams lengvai įkelti sugadintų tvarkyklių.

Kaip padidinti savo įrenginių apsaugą nuo kenkėjiškų programų?

Siekiant sustiprinti įrenginio saugumą ir apsisaugoti nuo kenkėjiškų programų, naudotojai raginami laikytis šios išsamios geriausios praktikos:

  • Reguliarūs programinės įrangos naujinimai: operacinė sistema: užtikrinkite, kad jūsų operacinė sistema būtų reguliariai atnaujinama naudojant naujausius saugos pataisymus ir naujinimus, siekiant pašalinti ir ištaisyti žinomas spragas. Programos: reguliariai atnaujinkite visą įdiegtą programinę įrangą, įskaitant žiniatinklio naršykles, papildinius ir kitas programas, kad išlaikytumėte saugumą ir funkcionalumą.
  • Stiprūs ir unikalūs slaptažodžiai: slaptažodžių sudėtingumas: kurkite sudėtingus slaptažodžius, kuriuose derinamos raidės, skaičiai ir simboliai, kad padidintumėte saugumą. Slaptažodžių valdymas: naudokite patikimą slaptažodžių tvarkyklę, kad sukurtumėte, saugotumėte ir tvarkytumėte unikalius kiekvienos paskyros slaptažodžius, taip sumažindami su slaptažodžiu susijusių pažeidimų riziką.
  • Dviejų veiksnių autentifikavimas (2FA) : Papildoma sauga: Įdiekite dviejų veiksnių autentifikavimą visose jį palaikančiose paskyrose ir paslaugose, pridėdami dar vieną saugumo lygmenį, be tradicinių slaptažodžių.
  • Apsauga nuo kenkėjiškų programų: apsauga realiuoju laiku: įdiekite ir prižiūrėkite patikimas apsaugos nuo kenkėjiškų programų programas, kurios siūlo apsaugą realiuoju laiku ir reguliariai tikrina, kad aptiktų ir neutralizuotų grėsmes. Programų naujinimai: reguliariai atnaujinkite šias saugos programas, kad užtikrintumėte, jog jos gali veiksmingai nustatyti naujas ir kylančias grėsmes ir su jais kovoti.
  • Saugaus naršymo praktika: venkite įtartinų nuorodų: nesinaudokite nuorodomis arba neatsisiųskite priedų iš nepažįstamų ar įtartinų el. laiškų, kad išvengtumėte kenkėjiškų programų užkrėtimo. Patvirtinkite svetaines: prieš įvesdami bet kokią privačią informaciją įsitikinkite, kad naršote saugiose ir teisėtose svetainėse, patikrindami, ar URL yra HTTPS.
  • Įprastos atsarginės kopijos: Duomenų atsarginė kopija: dažnai kurkite atsargines svarbių duomenų kopijas į nepriklausomą saugojimo įrenginį arba debesies paslaugą, kad sumažintumėte galimą duomenų praradimą kenkėjiškų programų atakos atveju.
  • Ugniasienės konfigūracija: Tinklo apsauga: naudokite ugniasienę, kad reguliuotumėte tiek įeinantį, tiek išeinantį tinklo srautą, taip užblokuodami neteisėtą prieigą ir padidindami tinklo saugumą.
  • Vartotojo teisės: Mažiausių privilegijų principas: Vietoj administratoriaus paskyros dirbkite naudodami įprastą vartotojo abonementą, kad apribotumėte galimą kenkėjiškų programų poveikį sistemos veiksmams. Atskiros paskyros: tvarkykite atskiras paskyras įprastinei veiklai ir administracinėms užduotims, kad sumažintumėte neteisėto privilegijų eskalavimo riziką.
  • Švietimas ir informuotumas: Supratimas apie sukčiavimą: būkite informuoti apie įprastas sukčiavimo ir socialinės inžinerijos taktikas, kad sumažintumėte galimybę tapti tokių atakų aukomis. Nuolatinis mokymas: nuolat dalyvaukite mokymuose ir mokykitės išteklius, kad būtumėte informuoti apie naujausias saugumo grėsmes ir geriausią praktiką.

Taikydami šią geriausią praktiką, vartotojai gali žymiai sustiprinti savo apsaugą nuo kenkėjiškų programų ir kitų saugumo grėsmių, padidindami bendrą sistemos saugumą ir vientisumą.

EDRKillShifter kenkėjiška programa vaizdo įrašas

Patarimas: ĮJUNKITE garsą ir žiūrėkite vaizdo įrašą viso ekrano režimu .

Tendencijos

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
37,940
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...

Iššokantieji langai „Jei jums 18 metų, bakstelėkite...

Fake Warning Messages
29,598
Iššokantieji langai „Jei esate 18 metų, bakstelėkite leisti“ yra iššokančiųjų langų tipas, kuris rodomas vartotojo ekrane naršant internete. Šie iššokantieji langai gali kelti nerimą vartotojams, nes jie ragina spustelėti mygtuką „leisti“, kad toliau naudotųsi svetaine, kurioje jie šiuo metu yra. Šie iššokantys langai yra susiję su tokiomis nepageidaujamomis programomis kaip reklaminė...
Įkeliama...