Вредоносное ПО EDRKillShifter

К Mezo году в Malware году

Перевести на:

Киберпреступная группировка, связанная с программой-вымогателем RansomHub, была замечена при развертывании нового инструмента, нацеленного на отключение программного обеспечения обнаружения и реагирования конечных точек (EDR) на скомпрометированных системах. Эксперты по кибербезопасности назвали эту утилиту для отключения EDR «EDRKillShifter». Инструмент был обнаружен после неудачной попытки программы-вымогателя в мае 2024 года. Теперь EDRKillShifter присоединилась к другим похожим программам, таким как AuKill (также известная как AvNeutralizer) и Terminator.

EDRKillShifter функционирует как исполняемый файл «загрузчика», служащий механизмом доставки легитимного, но уязвимого драйвера — этот тип инструмента обычно известен как «принеси свой собственный уязвимый драйвер» (BYOVD). В зависимости от целей субъекта угрозы он может развертывать различные полезные нагрузки драйвера.

Оглавление

Новое лицо старой киберпреступной группировки

RansomHub Ransomware, который, как полагают, является переименованной версией Knight Ransomwar e, появился в феврале 2024 года. Он использует известные уязвимости безопасности для получения первоначального доступа, развертывая законные инструменты удаленного рабочего стола, такие как Atera и Splashtop, для поддержания постоянного доступа. Буквально в прошлом месяце Microsoft раскрыла, что печально известная киберпреступная группа Scattered Spider добавила в свой инструментарий такие штаммы программ-вымогателей, как RansomHub и Qilin.

Цепочка атак и работа EDRKillShifter

Выполняемый через командную строку с вводом строки пароля, исполняемый файл расшифровывает встроенный ресурс с именем BIN и запускает его непосредственно в памяти. Этот ресурс BIN распаковывает и выполняет окончательную запутанную полезную нагрузку на основе Go, которая использует различные уязвимые, легитимные драйверы для получения повышенных привилегий и отключения программного обеспечения EDR.

Свойство языка двоичного файла установлено на русский, что говорит о том, что вредоносное ПО было скомпилировано в системе с настройками русской локализации. Все распакованные инструменты отключения EDR встраивают уязвимый драйвер в раздел .data.

Рекомендуется обновлять системы, включать защиту от несанкционированного доступа в программном обеспечении EDR и поддерживать надежные методы безопасности для ролей Windows, чтобы смягчить эту угрозу. Эта атака осуществима только в том случае, если злоумышленник может повысить привилегии или получить права администратора. Обеспечение четкого разделения между привилегиями пользователя и администратора может оказать огромную помощь в предотвращении легкой загрузки злоумышленниками поврежденных драйверов.

Как повысить безопасность ваших устройств от заражения вредоносным ПО?

Для усиления безопасности устройств и защиты от заражения вредоносным ПО пользователям рекомендуется принять следующие комплексные рекомендации:

Регулярные обновления ПО: Операционная система: Убедитесь, что ваша операционная система регулярно обновляется с помощью последних исправлений безопасности и обновлений для устранения известных уязвимостей. Приложения: Регулярно обновляйте все установленное ПО, включая веб-браузеры, плагины и другие приложения, для поддержания безопасности и функциональности.

Надежные и уникальные пароли: Сложность пароля: Создавайте сложные пароли, которые сочетают буквы, цифры и символы для повышения безопасности. Управление паролями: Используйте надежный менеджер паролей для генерации, хранения и управления уникальными паролями для каждой учетной записи, тем самым снижая риск нарушений, связанных с паролями.

Двухфакторная аутентификация (2FA) : дополнительная безопасность: внедрите двухфакторную аутентификацию для всех учетных записей и служб, которые ее поддерживают, добавив еще один уровень безопасности помимо традиционных паролей.

Антивредоносное ПО: Защита в режиме реального времени: Установите и поддерживайте надежные антивредоносные программы, которые предлагают защиту в режиме реального времени и проводят регулярные сканирования для обнаружения и нейтрализации угроз. Обновления программ: Регулярно обновляйте эти программы безопасности, чтобы они могли эффективно определять и бороться с новыми и возникающими угрозами.

Методы безопасного просмотра: Избегайте подозрительных ссылок: Воздержитесь от доступа к ссылкам или загрузки вложений из незнакомых или подозрительных писем, чтобы предотвратить заражение вредоносным ПО. Проверка веб-сайтов: Убедитесь, что вы переходите на безопасные и законные веб-сайты, проверив наличие HTTPS в URL-адресе перед вводом какой-либо личной информации.

Регулярное резервное копирование: Резервное копирование данных: регулярно создавайте резервные копии критически важных данных на независимом устройстве хранения или в облачном сервисе, чтобы свести к минимуму потенциальную потерю данных в случае атаки вредоносного ПО.

Конфигурация брандмауэра: Защита сети: используйте брандмауэр для регулирования входящего и исходящего сетевого трафика, тем самым блокируя несанкционированный доступ и повышая безопасность сети.

Привилегии пользователя: Принцип наименьших привилегий: Вместо учетной записи администратора используйте обычную учетную запись пользователя, чтобы ограничить потенциальное влияние вредоносных программ на работу системы. Отдельные учетные записи: Используйте отдельные учетные записи для рутинных действий и административных задач, чтобы снизить риск несанкционированного повышения привилегий.

Образование и осведомленность: Осведомленность о фишинге: будьте в курсе распространенных тактик фишинга и тактик социальной инженерии, чтобы уменьшить вероятность стать жертвой таких атак. Постоянное обучение: постоянно участвуйте в обучении и образовательных ресурсах, чтобы быть в курсе последних угроз безопасности и передовых методов.

Используя эти передовые методы, пользователи могут значительно усилить защиту от вредоносных программ и других угроз безопасности, повысив общую безопасность и целостность системы.