Škodlivý softvér EDRKillShifter

Do roku Mezo v roku Malware

Preložiť do:

Skupina zaoberajúca sa počítačovou kriminalitou spojená s RansomHub Ransomware nasadila nový nástroj zameraný na deaktiváciu softvéru na detekciu a odozvu koncových bodov (EDR) na napadnutých systémoch. Odborníci na kybernetickú bezpečnosť nazvali tento nástroj na deaktiváciu EDR „EDRKillShifter“. Nástroj bol objavený po neúspešnom pokuse o ransomvér v máji 2024. EDRKillShifter sa teraz pripája k ďalším podobným programom, ako sú AuKill (známy aj ako AvNeutralizer) a Terminator.

EDRKillShifter funguje ako spustiteľný súbor „loader“, ktorý slúži ako doručovací mechanizmus pre legitímneho, ale zraniteľného vodiča – tento typ nástroja je zvyčajne známy ako „prineste si vlastný zraniteľný ovládač“ (BYOVD). V závislosti od cieľov aktéra hrozby môže nasadiť rôzne užitočné zaťaženia ovládačov.

Obsah

Nová tvár starej skupiny pre počítačovú kriminalitu

RansomHub Ransomware, o ktorom sa predpokladá, že je prerobenou verziou Knight Ransomwar e, sa objavil vo februári 2024. Využíva známe bezpečnostné chyby na získanie počiatočného prístupu a na udržanie trvalého prístupu nasadzuje legitímne nástroje vzdialenej pracovnej plochy ako Atera a Splashtop. Len minulý mesiac spoločnosť Microsoft zverejnila, že neslávne známa kyberzločinecká skupina Scattered Spider pridala do svojej sady nástrojov ransomvérové kmene ako RansomHub a Qilin.

Útočný reťazec a prevádzka EDRKillShifter

Spustiteľný súbor, ktorý sa spúšťa cez príkazový riadok so vstupom reťazca hesla, dešifruje vložený zdroj s názvom BIN a spustí ho priamo v pamäti. Tento zdroj BIN rozbaľuje a spúšťa konečný, zahmlený náklad založený na Go, ktorý využíva rôzne zraniteľné, legitímne ovládače na získanie zvýšených privilégií a deaktiváciu softvéru EDR.

Vlastnosť jazyka binárneho súboru je nastavená na ruštinu, čo naznačuje, že malvér bol skompilovaný v systéme s ruskými nastaveniami lokalizácie. Všetky rozbalené nástroje na deaktiváciu EDR vkladajú zraniteľný ovládač do sekcie .data.

Na zmiernenie tejto hrozby sa odporúča udržiavať systémy aktualizované, povoliť ochranu proti neoprávnenej manipulácii v softvéri EDR a udržiavať prísne bezpečnostné postupy pre roly Windows. Tento útok je uskutočniteľný iba vtedy, ak útočník môže zvýšiť privilégiá alebo získať práva správcu. Zabezpečenie jasného oddelenia medzi používateľskými a správcovskými oprávneniami môže výrazne pomôcť zabrániť útočníkom ľahko načítať poškodené ovládače.

Ako zvýšiť bezpečnosť vašich zariadení proti infekciám škodlivým softvérom?

Na posilnenie zabezpečenia zariadenia a ochranu pred škodlivým softvérom sa používateľom odporúča, aby prijali nasledujúce komplexné osvedčené postupy:

Pravidelné aktualizácie softvéru: Operačný systém: Zabezpečte, aby bol váš operačný systém pravidelne inovovaný najnovšími bezpečnostnými záplatami a aktualizáciami, aby ste odstránili a opravili známe slabé miesta. Aplikácie: Pravidelne aktualizujte všetok nainštalovaný softvér vrátane webových prehliadačov, doplnkov a iných aplikácií, aby ste zachovali bezpečnosť a funkčnosť.

Silné a jedinečné heslá: Zložitosť hesiel: Vytvárajte zložité heslá, ktoré kombinujú písmená, čísla a symboly na zvýšenie bezpečnosti. Správa hesiel: Využite renomovaného správcu hesiel na generovanie, ukladanie a správu jedinečných hesiel pre každý účet, čím sa zníži riziko narušenia hesiel.

Dvojfaktorová autentifikácia (2FA) : Dodatočné zabezpečenie: Implementujte dvojfaktorovú autentifikáciu na všetky účty a služby, ktoré ju podporujú, čím pridáte ďalšiu vrstvu zabezpečenia nad rámec tradičných hesiel.

Softvér na ochranu pred škodlivým softvérom: Ochrana v reálnom čase: Nainštalujte a udržiavajte dôveryhodné programy na ochranu pred škodlivým softvérom, ktoré ponúkajú ochranu v reálnom čase a vykonávajú pravidelné kontroly na zistenie a neutralizáciu hrozieb. Aktualizácie programu: Pravidelne aktualizujte tieto bezpečnostné programy, aby ste zaistili, že dokážu efektívne identifikovať nové a vznikajúce hrozby a bojovať proti nim.

Postupy bezpečného prehliadania: Vyhnite sa podozrivým odkazom: Nepristupujte k odkazom ani nesťahujte prílohy z neznámych alebo podozrivých e-mailov, aby ste predišli infekciám škodlivým softvérom. Overenie webových stránok: Pred zadaním akýchkoľvek súkromných informácií sa uistite, že prechádzate na zabezpečené a legitímne webové stránky, a to tak, že v adrese URL skontrolujete HTTPS.

Pravidelné zálohovanie: Zálohovanie dát: Často zálohujte kritické dáta na nezávislé úložné zariadenie alebo cloudovú službu, aby ste minimalizovali potenciálnu stratu dát v prípade útoku škodlivého softvéru.

Konfigurácia brány firewall: Ochrana siete: Použite bránu firewall na reguláciu prichádzajúcej aj odchádzajúcej sieťovej prevádzky, čím blokujete neoprávnený prístup a zvyšujete bezpečnosť siete.

Používateľské privilégiá: Princíp najmenších privilégií: Namiesto účtu správcu používajte bežný používateľský účet, aby ste obmedzili potenciálny vplyv malvéru na operácie systému. Oddelené účty: Udržujte oddelené účty pre bežné činnosti a administratívne úlohy, aby ste znížili riziko neoprávnenej eskalácie privilégií.

Vzdelávanie a povedomie: Povedomie o phishingu: Buďte informovaní o bežných taktikách phishingu a taktikách sociálneho inžinierstva, aby ste znížili možnosť stať sa obeťou takýchto útokov. Priebežné školenie: Neustále sa zapájajte do školení a vzdelávacích zdrojov, aby ste boli informovaní o najnovších bezpečnostných hrozbách a osvedčených postupoch.

Prijatím týchto osvedčených postupov môžu používatelia výrazne posilniť svoju obranu proti malvérovým infekciám a iným bezpečnostným hrozbám, čím sa zvýši celková bezpečnosť a integrita systému.