Oprogramowanie złośliwe EDRKillShifter

Do Mezo w Malware

Przetłumacz na:

Grupa cyberprzestępców powiązana z RansomHub Ransomware została zauważona wdrażająca nowe narzędzie mające na celu wyłączenie oprogramowania do wykrywania i reagowania na zagrożenia w punktach końcowych (EDR) w zainfekowanych systemach. Eksperci ds. cyberbezpieczeństwa nazwali to narzędzie do wyłączania EDR „EDRKillShifter”. Narzędzie zostało odkryte po nieudanej próbie ataku ransomware w maju 2024 r. EDRKillShifter dołącza teraz do innych podobnych programów, takich jak AuKill (znany również jako AvNeutralizer) i Terminator.

EDRKillShifter działa jako plik wykonywalny „loadera”, służąc jako mechanizm dostarczania legalnego, ale podatnego na ataki sterownika — ten typ narzędzia jest zwykle znany jako „przynieś własny podatny na ataki sterownik” (BYOVD). W zależności od celów aktora zagrożenia może wdrażać różne ładunki sterownika.

Spis treści

Nowa twarz starej grupy cyberprzestępczej

RansomHub Ransomware , uważany za przemianowaną wersję Knight Ransomwar e, pojawił się w lutym 2024 r. Wykorzystuje znane luki w zabezpieczeniach, aby uzyskać początkowy dostęp, wdrażając legalne narzędzia do zdalnego pulpitu, takie jak Atera i Splashtop, aby utrzymać stały dostęp. Zaledwie w zeszłym miesiącu Microsoft ujawnił, że niesławna grupa cyberprzestępcza Scattered Spider dodała do swojego zestawu narzędzi odmiany ransomware, takie jak RansomHub i Qilin.

Łańcuch ataków i działanie EDRKillShifter

Wykonywany za pomocą wiersza poleceń z ciągiem wprowadzanym jako hasło, plik wykonywalny odszyfrowuje osadzony zasób o nazwie BIN i uruchamia go bezpośrednio w pamięci. Ten zasób BIN rozpakowuje i wykonuje ostateczny, zaciemniony ładunek oparty na Go, który wykorzystuje różne podatne, legalne sterowniki, aby uzyskać podwyższone uprawnienia i wyłączyć oprogramowanie EDR.

Właściwość języka pliku binarnego jest ustawiona na rosyjski, co sugeruje, że malware zostało skompilowane w systemie z rosyjskimi ustawieniami lokalizacji. Wszystkie rozpakowane narzędzia wyłączające EDR osadzają podatny sterownik w sekcji .data.

Zaleca się aktualizowanie systemów, włączanie ochrony przed manipulacją w oprogramowaniu EDR i utrzymywanie silnych praktyk bezpieczeństwa dla ról systemu Windows w celu złagodzenia tego zagrożenia. Ten atak jest możliwy tylko wtedy, gdy atakujący może eskalować uprawnienia lub uzyskać prawa administratora. Zapewnienie wyraźnego podziału między uprawnieniami użytkownika i administratora może pomóc w ogromnym stopniu w zapobieganiu łatwemu ładowaniu uszkodzonych sterowników przez atakujących.

Jak zwiększyć bezpieczeństwo urządzeń przed infekcjami złośliwego oprogramowania?

Aby zwiększyć bezpieczeństwo urządzenia i zapewnić ochronę przed infekcjami złośliwego oprogramowania, użytkownicy powinni stosować się do następujących kompleksowych dobrych praktyk:

Regularne aktualizacje oprogramowania: System operacyjny: Upewnij się, że Twój system operacyjny jest regularnie aktualizowany o najnowsze poprawki zabezpieczeń i aktualizacje, aby rozwiązać i naprawić znane luki w zabezpieczeniach. Aplikacje: Regularnie aktualizuj całe zainstalowane oprogramowanie, w tym przeglądarki internetowe, wtyczki i inne aplikacje, aby zachować bezpieczeństwo i funkcjonalność.

Silne i unikalne hasła: Złożoność hasła: Twórz złożone hasła, które łączą litery, cyfry i symbole, aby zwiększyć bezpieczeństwo. Zarządzanie hasłami: Korzystaj z renomowanego menedżera haseł, aby generować, przechowywać i zarządzać unikalnymi hasłami dla każdego konta, zmniejszając w ten sposób ryzyko naruszeń związanych z hasłami.

Uwierzytelnianie dwuskładnikowe (2FA) : Dodatkowe zabezpieczenia: Wprowadź uwierzytelnianie dwuskładnikowe na wszystkich kontach i usługach, które je obsługują. W ten sposób dodasz kolejną warstwę zabezpieczeń wykraczającą poza tradycyjne hasła.

Oprogramowanie antymalware: Ochrona w czasie rzeczywistym: Zainstaluj i utrzymuj zaufane programy antymalware, które oferują ochronę w czasie rzeczywistym i wykonują regularne skanowanie w celu wykrywania i neutralizowania zagrożeń. Aktualizacje programów: Regularnie aktualizuj te programy bezpieczeństwa, aby mieć pewność, że mogą skutecznie identyfikować i zwalczać nowe i pojawiające się zagrożenia.

Bezpieczne praktyki przeglądania: Unikaj podejrzanych linków: Powstrzymaj się od uzyskiwania dostępu do linków lub pobierania załączników z nieznanych lub podejrzanych wiadomości e-mail, aby zapobiec infekcjom złośliwym oprogramowaniem. Weryfikuj witryny: Upewnij się, że przechodzisz do bezpiecznych i legalnych witryn, sprawdzając HTTPS w adresie URL przed wprowadzeniem jakichkolwiek prywatnych informacji.

Regularne kopie zapasowe: Kopie zapasowe danych: Regularnie twórz kopie zapasowe ważnych danych na niezależnym urządzeniu pamięci masowej lub w usłudze w chmurze, aby zminimalizować ryzyko utraty danych w przypadku ataku złośliwego oprogramowania.

Konfiguracja zapory sieciowej: Ochrona sieci: Zastosuj zaporę sieciową, aby regulować ruch sieciowy przychodzący i wychodzący, blokując w ten sposób nieautoryzowany dostęp i zwiększając bezpieczeństwo sieci.

Uprawnienia użytkownika: Zasada najmniejszych uprawnień: Zamiast konta administratora, działaj przy użyciu zwykłego konta użytkownika, aby ograniczyć potencjalny wpływ złośliwego oprogramowania na działanie systemu. Oddzielne konta: Utrzymuj oddzielne konta do rutynowych działań i zadań administracyjnych, aby zmniejszyć ryzyko nieautoryzowanej eskalacji uprawnień.

Edukacja i świadomość: Świadomość phishingu: Bądź na bieżąco z powszechnymi taktykami phishingu i taktykami socjotechnicznymi, aby zmniejszyć prawdopodobieństwo stania się ofiarą takich ataków. Ciągłe szkolenia: Nieustannie uczestnicz w szkoleniach i zasobach edukacyjnych, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa i najlepszymi praktykami.

Stosując te najlepsze praktyki, użytkownicy mogą znacznie wzmocnić swoje zabezpieczenia przed infekcjami złośliwego oprogramowania i innymi zagrożeniami bezpieczeństwa, zwiększając ogólne bezpieczeństwo i integralność systemu.