EDRKillShifter ļaunprātīga programmatūra

Līdz Mezo. gadam Malware. gadā

Tulkot uz:

Ir pamanīta ar RansomHub Ransomware saistīta kibernoziedzības grupa, kas izvieto jaunu rīku, kura mērķis ir atspējot galapunktu noteikšanas un reaģēšanas (EDR) programmatūru apdraudētās sistēmās. Kiberdrošības eksperti ir nosaukuši šo EDR atspējošanas utilītu "EDRKillShifter". Rīks tika atklāts pēc neveiksmīga izpirkuma programmatūras mēģinājuma 2024. gada maijā. EDRKillShifter tagad pievienojas citām līdzīgām programmām, piemēram, AuKill (pazīstams arī kā AvNeutralizer) un Terminator.

EDRKillShifter darbojas kā “ielādētāja” izpildāmā programma, kas kalpo kā piegādes mehānisms likumīgam, bet neaizsargātam draiverim — šāda veida rīks parasti tiek dēvēts par “atnesiet savu neaizsargāto draiveri” (BYOVD). Atkarībā no apdraudējuma dalībnieka mērķiem tas var izvietot dažādas vadītāja slodzes.

Satura rādītājs

Vecas kibernoziedzības grupas jauna seja

Tiek uzskatīts, ka RansomHub Ransomware ir pārveidota Knight Ransomwar e versija, kas parādījās 2024. gada februārī. Tā izmanto zināmās drošības ievainojamības, lai iegūtu sākotnējo piekļuvi, izvietojot likumīgus attālās darbvirsmas rīkus, piemēram, Atera un Splashtop, lai uzturētu pastāvīgu piekļuvi. Tikai pagājušajā mēnesī Microsoft atklāja, ka bēdīgi slavenā kibernoziedzības grupa Scattered Spider ir pievienojusi savam rīku komplektam tādus izspiedējvīrusu celmus kā RansomHub un Qilin.

Uzbrukuma ķēde un EDRKillShifter darbība

Izpildīts, izmantojot komandrindu ar paroles virknes ievadi, izpildāmais fails atšifrē iegulto resursu ar nosaukumu BIN un palaiž to tieši atmiņā. Šis BIN resurss izpako un izpilda galīgo Go balstītu, neskaidru lietderīgo slodzi, kas izmanto dažādus neaizsargātus, likumīgus draiverus, lai iegūtu paaugstinātas privilēģijas un atspējotu EDR programmatūru.

Bināra valodas rekvizīts ir iestatīts uz krievu valodu, kas liecina, ka ļaunprogrammatūra tika kompilēta sistēmā ar krievu valodas lokalizācijas iestatījumiem. Visi neiepakotie EDR atspējošanas rīki iegulst ievainojamu draiveri sadaļā .data.

Ieteicams regulāri atjaunināt sistēmas, iespējot aizsardzību pret viltojumiem EDR programmatūrā un saglabāt stingru drošības praksi Windows lomām, lai mazinātu šo draudu. Šis uzbrukums ir iespējams tikai tad, ja uzbrucējs var palielināt privilēģijas vai iegūt administratora tiesības. Nodrošinot skaidru atdalīšanu starp lietotāja un administratora privilēģijām, var ievērojami palīdzēt novērst uzbrucēju vieglu ielādēšanu bojātos draiveros.

Kā uzlabot savu ierīču drošību pret ļaunprātīgas programmatūras infekcijām?

Lai stiprinātu ierīces drošību un aizsargātu pret ļaunprātīgas programmatūras infekcijām, lietotāji tiek aicināti pieņemt šādu visaptverošu paraugpraksi:

Regulāri programmatūras atjauninājumi: operētājsistēma: nodrošiniet, lai jūsu operētājsistēma tiktu regulāri atjaunināta ar jaunākajiem drošības ielāpiem un atjauninājumiem, lai novērstu un novērstu zināmās ievainojamības. Lietojumprogrammas: regulāri atjauniniet visu instalēto programmatūru, tostarp tīmekļa pārlūkprogrammas, spraudņus un citas lietojumprogrammas, lai uzturētu drošību un funkcionalitāti.

Spēcīgas un unikālas paroles: paroles sarežģītība: izveidojiet sarežģītas paroles, kas apvieno burtus, ciparus un simbolus, lai uzlabotu drošību. Paroļu pārvaldība: izmantojiet cienījamu paroļu pārvaldnieku, lai ģenerētu, uzglabātu un pārvaldītu unikālas paroles katram kontam, tādējādi samazinot ar paroli saistītu pārkāpumu risku.

Divfaktoru autentifikācija (2FA) : papildu drošība: ieviesiet divu faktoru autentifikāciju visos kontos un pakalpojumos, kas to atbalsta, pievienojot vēl vienu drošības līmeni papildus tradicionālajām parolēm.

Ļaunprātīgas programmatūras novēršanas programmatūra: aizsardzība reāllaikā: instalējiet un uzturiet uzticamas ļaunprātīgas programmatūras apkarošanas programmas, kas piedāvā reāllaika aizsardzību un veic regulāras skenēšanas, lai atklātu un neitralizētu draudus. Programmu atjauninājumi: regulāri atjauniniet šīs drošības programmas, lai nodrošinātu, ka tās var efektīvi identificēt un cīnīties pret jauniem un jauniem draudiem.

Drošas pārlūkošanas prakse: izvairieties no aizdomīgām saitēm. Nepiekļūstiet saitēm vai nelejupielādējiet pielikumus no nepazīstamiem vai aizdomīgiem e-pasta ziņojumiem, lai novērstu ļaunprātīgas programmatūras inficēšanos. Vietņu pārbaude: pirms privātas informācijas ievadīšanas pārbaudiet, vai vietrādī URL nav pieejams HTTPS.

Regulāras dublējumkopijas: datu dublēšana: bieži dublējiet kritiskos datus neatkarīgā atmiņas ierīcē vai mākoņpakalpojumā, lai samazinātu iespējamo datu zudumu ļaunprātīgas programmatūras uzbrukuma gadījumā.

Ugunsmūra konfigurācija: tīkla aizsardzība: izmantojiet ugunsmūri, lai regulētu gan ienākošo, gan izejošo tīkla trafiku, tādējādi bloķējot nesankcionētu piekļuvi un uzlabojot tīkla drošību.

Lietotāja privilēģijas: mazāko privilēģiju princips: administratora konta vietā izmantojiet parastu lietotāja kontu, lai ierobežotu ļaunprātīgas programmatūras iespējamo ietekmi uz sistēmas darbībām. Atsevišķi konti: uzturiet atsevišķus kontus ikdienas darbībām un administratīvajiem uzdevumiem, lai mazinātu nesankcionētas privilēģiju eskalācijas risku.

Izglītība un informētība: apzināšanās par pikšķerēšanu: esiet informēts par izplatītajām pikšķerēšanas taktikām un sociālās inženierijas taktiku, lai samazinātu iespēju kļūt par šādu uzbrukumu upuriem. Pastāvīga apmācība: nepārtraukti iesaistieties apmācībā un izglītības resursos, lai vienmēr būtu informēts par jaunākajiem drošības apdraudējumiem un paraugpraksi.

Pieņemot šo labāko praksi, lietotāji var ievērojami pastiprināt savu aizsardzību pret ļaunprātīgas programmatūras infekcijām un citiem drošības apdraudējumiem, uzlabojot vispārējo sistēmas drošību un integritāti.