Multi-License Discount Quote
Trusseldatabase Malware EDRKillShifter skadelig programvare

EDRKillShifter skadelig programvare

Med Mezo i Malware
Oversett til:
Norsk

En cyberkriminalitetsgruppe knyttet til RansomHub Ransomware har blitt oppdaget som distribuerer et nytt verktøy som tar sikte på å deaktivere endepunktsdeteksjon og -svar (EDR) programvare på kompromitterte systemer. Eksperter på nettsikkerhet har kalt dette EDR-deaktiverende verktøyet "EDRKillShifter." Verktøyet ble oppdaget etter et mislykket forsøk på løsepengevare i mai 2024. EDRKillShifter slutter seg nå til andre lignende programmer, som AuKill (også kjent som AvNeutralizer) og Terminator.

EDRKillShifter fungerer som en "loader"-kjørbar, og fungerer som en leveringsmekanisme for en legitim, men sårbar sjåfør - denne typen verktøy er vanligvis kjent som en "bring your own vulnerable driver" (BYOVD). Avhengig av trusselaktørens mål, kan den distribuere ulike sjåførnyttelaster.

Nytt ansikt til en gammel nettkriminalitetsgruppe

RansomHub Ransomware antas å være en rebranded versjon av Knight Ransomwar e, dukket opp i februar 2024. Den utnytter kjente sikkerhetssårbarheter for å få innledende tilgang, og distribuerer legitime eksterne skrivebordsverktøy som Atera og Splashtop for å opprettholde vedvarende tilgang. Bare forrige måned avslørte Microsoft at den beryktede nettkriminalitetsgruppen Scattered Spider har lagt til løsepengevarestammer som RansomHub og Qilin til verktøysettet sitt.

Angrepskjede og drift av EDRillShifter

Utført via kommandolinjen med en passordstrenginngang, dekrypterer den kjørbare en innebygd ressurs kalt BIN og kjører den direkte i minnet. Denne BIN-ressursen pakker ut og kjører en siste Go-basert, tilslørt nyttelast, som utnytter ulike sårbare, legitime drivere for å få økte privilegier og deaktivere EDR-programvare.

Binærens språkegenskap er satt til russisk, noe som tyder på at skadelig programvare ble kompilert på et system med russiske lokaliseringsinnstillinger. Alle utpakkede EDR-deaktiveringsverktøy bygger inn en sårbar driver i .data-delen.

Det anbefales å holde systemene oppdatert, aktivere sabotasjebeskyttelse i EDR-programvare og opprettholde sterke sikkerhetspraksiser for Windows-roller for å redusere denne trusselen. Dette angrepet er bare mulig hvis angriperen kan eskalere privilegier eller få administratorrettigheter. Å sikre et tydelig skille mellom bruker- og administratorrettigheter kan hjelpe enormt med å forhindre at angripere enkelt laster ødelagte drivere.

Hvordan øke sikkerheten til enhetene dine mot skadelig programvare?

For å styrke enhetssikkerheten og beskytte mot infeksjoner med skadelig programvare, oppfordres brukere til å ta i bruk følgende omfattende beste praksis:

  • Regelmessige programvareoppdateringer: Operativsystem: Sørg for at operativsystemet ditt jevnlig oppgraderes med de nyeste sikkerhetsoppdateringene og oppdateringene for å adressere og rette opp kjente sårbarheter. Applikasjoner: Oppdater regelmessig all installert programvare, inkludert nettlesere, plugins og andre applikasjoner, for å opprettholde sikkerhet og funksjonalitet.
  • Sterke og unike passord: Passordkompleksitet: Lag komplekse passord som kombinerer bokstaver, tall og symboler for å øke sikkerheten. Passordbehandling: Bruk en anerkjent passordbehandling for å generere, lagre og administrere unike passord for hver konto, og redusere risikoen for passordrelaterte brudd.
  • Tofaktorautentisering (2FA) : Ytterligere sikkerhet: Implementer tofaktorautentisering på alle kontoer og tjenester som støtter det, og legg til et ekstra lag med sikkerhet utover tradisjonelle passord.
  • Anti-Malware-programvare: Sanntidsbeskyttelse: Installer og vedlikehold pålitelige anti-malware-programmer som tilbyr sanntidsbeskyttelse og utfører regelmessige skanninger for å oppdage og nøytralisere trusler. Programoppdateringer: Oppdater disse sikkerhetsprogrammene regelmessig for å sikre at de kan identifisere og bekjempe nye og nye trusler effektivt.
  • Praksis for sikker surfing: Unngå mistenkelige koblinger: Avstå fra å få tilgang til lenker eller laste ned vedlegg fra ukjente eller mistenkelige e-poster for å forhindre skadelig programvare. Bekreft nettsteder: Sørg for at du navigerer til sikre og legitime nettsteder ved å se etter HTTPS i URL-en før du legger inn privat informasjon.
  • Vanlige sikkerhetskopier: Datasikkerhetskopiering: Sikkerhetskopier ofte kritiske data til en uavhengig lagringsenhet eller en skytjeneste for å minimere potensielt tap av data i tilfelle et skadelig programvareangrep.
  • Brannmurkonfigurasjon: Nettverksbeskyttelse: Bruk en brannmur for å regulere både innkommende og utgående nettverkstrafikk, og blokkerer derved uautorisert tilgang og øker nettverkssikkerheten.
  • Brukerrettigheter: Minste privilegier Prinsipp: I stedet for en administratorkonto, bruk en vanlig brukerkonto for å begrense den potensielle innvirkningen av skadelig programvare på systemdriften. Separate kontoer: Oppretthold distinkte kontoer for rutineaktiviteter og administrative oppgaver for å redusere risikoen for uautorisert rettighetseskalering.
  • Utdanning og bevissthet: Phishing-bevissthet: Hold deg informert om vanlige phishing-taktikker og sosial ingeniør-taktikker for å redusere muligheten for å bli offer for slike angrep. Løpende opplæring: Engasjer deg kontinuerlig i opplærings- og utdanningsressurser for å holde deg oppdatert på de siste sikkerhetstruslene og beste praksis.

Ved å ta i bruk disse beste fremgangsmåtene, kan brukere styrke deres forsvar mot skadelig programvare og andre sikkerhetstrusler betydelig, og forbedre den generelle systemsikkerheten og integriteten.

EDRKillShifter skadelig programvare video

Tips: Slå lyden og se videoen i fullskjermmodus .

Trender

Mest sett

Laster inn...