EDRKillShifter-malware

Tegen Mezo in Malware

Vertalen naar:

Een cybercrimegroep die geassocieerd wordt met de RansomHub Ransomware is gespot bij het inzetten van een nieuwe tool die gericht is op het uitschakelen van endpoint detection and response (EDR) software op gecompromitteerde systemen. Cybersecurity-experts hebben dit EDR-uitschakelende hulpprogramma "EDRKillShifter" genoemd. De tool werd ontdekt na een mislukte ransomware-poging in mei 2024. EDRKillShifter voegt zich nu bij andere soortgelijke programma's, zoals AuKill (ook bekend als AvNeutralizer) en Terminator.

EDRKillShifter functioneert als een 'loader'-uitvoerbaar bestand, dat dient als een leveringsmechanisme voor een legitieme maar kwetsbare driver. Dit type tool staat doorgaans bekend als een 'bring your own vulnerable driver' (BYOVD). Afhankelijk van de doelstellingen van de dreigingsactor kan het verschillende driver-payloads implementeren.

Inhoudsopgave

Nieuw gezicht van een oude cybercriminele groep

De RansomHub Ransomware, waarvan wordt aangenomen dat het een rebranded versie is van de Knight Ransomwar e, verscheen in februari 2024. Het maakt gebruik van bekende beveiligingskwetsbaarheden om initiële toegang te krijgen, waarbij legitieme tools voor externe bureaubladen zoals Atera en Splashtop worden ingezet om permanente toegang te behouden. Nog maar vorige maand maakte Microsoft bekend dat de beruchte cybercrimegroep Scattered Spider ransomwarestammen zoals RansomHub en Qilin aan zijn toolkit heeft toegevoegd.

Aanvalsketen en werking van EDRKillShifter

Uitgevoerd via de opdrachtregel met een wachtwoordstring-invoer, decodeert het uitvoerbare bestand een ingebedde resource met de naam BIN en voert deze rechtstreeks in het geheugen uit. Deze BIN-resource pakt een definitieve Go-gebaseerde, verduisterde payload uit en voert deze uit, die verschillende kwetsbare, legitieme drivers exploiteert om verhoogde privileges te verkrijgen en EDR-software uit te schakelen.

De taaleigenschap van het binaire bestand is ingesteld op Russisch, wat suggereert dat de malware is gecompileerd op een systeem met Russische lokalisatie-instellingen. Alle uitgepakte EDR-uitschakeltools bevatten een kwetsbare driver in de .data-sectie.

Het wordt aanbevolen om systemen up-to-date te houden, bescherming tegen manipulatie in EDR-software in te schakelen en sterke beveiligingspraktijken voor Windows-rollen te handhaven om deze dreiging te beperken. Deze aanval is alleen haalbaar als de aanvaller privileges kan verhogen of beheerdersrechten kan verkrijgen. Het zorgen voor een duidelijke scheiding tussen gebruikers- en beheerdersrechten kan enorm helpen bij het voorkomen dat aanvallers gemakkelijk corrupte drivers laden.

Hoe kunt u de beveiliging van uw apparaten tegen malware-infecties verbeteren?

Om de beveiliging van uw apparaat te verbeteren en uzelf te beschermen tegen malware-infecties, wordt u aangeraden de volgende uitgebreide best practices toe te passen:

Regelmatige software-updates: Besturingssysteem: Zorg ervoor dat uw besturingssysteem regelmatig wordt bijgewerkt met de nieuwste beveiligingspatches en updates om bekende kwetsbaarheden aan te pakken en te verhelpen. Toepassingen: Werk alle geïnstalleerde software, inclusief webbrowsers, plug-ins en andere toepassingen, regelmatig bij om de beveiliging en functionaliteit te behouden.

Sterke en unieke wachtwoorden: Complexiteit van wachtwoorden: Maak complexe wachtwoorden die letters, cijfers en symbolen combineren om de beveiliging te verbeteren. Wachtwoordbeheer: Gebruik een gerenommeerde wachtwoordbeheerder om unieke wachtwoorden voor elk account te genereren, op te slaan en te beheren, waardoor het risico op wachtwoordgerelateerde inbreuken wordt verminderd.

Twee-factorauthenticatie (2FA) : extra beveiliging: implementeer twee-factorauthenticatie op alle accounts en services die dit ondersteunen, en voeg zo een extra beveiligingslaag toe naast traditionele wachtwoorden.

Anti-malwaresoftware: Realtimebeveiliging: Installeer en onderhoud vertrouwde anti-malwareprogramma's die realtimebeveiliging bieden en voer regelmatig scans uit om bedreigingen te detecteren en neutraliseren. Programma-updates: Werk deze beveiligingsprogramma's regelmatig bij om ervoor te zorgen dat ze nieuwe en opkomende bedreigingen effectief kunnen identificeren en bestrijden.

Veilige surfpraktijken: Vermijd verdachte links: Vermijd het openen van links of het downloaden van bijlagen van onbekende of verdachte e-mails om malware-infecties te voorkomen. Verifieer websites: Zorg ervoor dat u naar veilige en legitieme websites navigeert door te controleren op HTTPS in de URL voordat u privé-informatie invoert.

Regelmatige back-ups: Gegevensback-up: Maak regelmatig een back-up van kritieke gegevens naar een onafhankelijk opslagapparaat of een cloudservice om mogelijk gegevensverlies bij een malware-aanval tot een minimum te beperken.

Firewallconfiguratie: Netwerkbeveiliging: Gebruik een firewall om zowel inkomend als uitgaand netwerkverkeer te reguleren, waardoor ongeautoriseerde toegang wordt geblokkeerd en de netwerkbeveiliging wordt verbeterd.

Gebruikersrechten: Least Privilege Principle: Gebruik in plaats van een beheerdersaccount een regulier gebruikersaccount om de potentiële impact van malware op systeembewerkingen te beperken. Aparte accounts: Houd aparte accounts aan voor routinematige activiteiten en administratieve taken om het risico op ongeautoriseerde escalatie van rechten te beperken.

Onderwijs en bewustzijn: Phishingbewustzijn: blijf op de hoogte van veelvoorkomende phishingtactieken en social engineeringtactieken om de kans te verkleinen dat u slachtoffer wordt van dergelijke aanvallen. Doorlopende training: blijf voortdurend betrokken bij training en educatieve bronnen om op de hoogte te blijven van de nieuwste beveiligingsbedreigingen en best practices.

Door deze best practices toe te passen, kunnen gebruikers hun verdediging tegen malware-infecties en andere beveiligingsbedreigingen aanzienlijk versterken, waardoor de algehele beveiliging en integriteit van het systeem worden verbeterd.