Zlonamerna programska oprema EDRKillShifter

Skupina kibernetskega kriminala, povezana z izsiljevalsko programsko opremo RansomHub, je bila opažena pri uvajanju novega orodja, namenjenega onemogočanju programske opreme za zaznavanje in odziv končne točke (EDR) na ogroženih sistemih. Strokovnjaki za kibernetsko varnost so ta pripomoček za onemogočanje EDR poimenovali »EDRKillShifter«. Orodje je bilo odkrito po neuspelem poskusu izsiljevalske programske opreme maja 2024. EDRKillShifter se zdaj pridružuje drugim podobnim programom, kot sta AuKill (znan tudi kot AvNeutralizer) in Terminator.

EDRKillShifter deluje kot izvedljiva datoteka za nalaganje in služi kot mehanizem za dostavo zakonitega, a ranljivega gonilnika – ta vrsta orodja je običajno znana kot »prinesi svoj lasten ranljiv gonilnik« (BYOVD). Odvisno od ciljev akterja grožnje lahko uporabi različne obremenitve gonilnika.

Nov obraz stare kibernetske kriminalne skupine

Izsiljevalska programska oprema RansomHub , za katero se domneva, da je preimenovana različica Knight Ransomwar e, ki se je pojavila februarja 2024. Izkorišča znane varnostne ranljivosti za pridobitev začetnega dostopa, pri čemer uporablja legitimna orodja za oddaljeno namizje, kot sta Atera in Splashtop, za vzdrževanje trajnega dostopa. Ravno prejšnji mesec je Microsoft razkril, da je zloglasna skupina za kibernetski kriminal Scattered Spider v svoj nabor orodij dodala vrste izsiljevalske programske opreme, kot sta RansomHub in Qilin.

Veriga napadov in delovanje EDRKillShifter

Izvršljiva datoteka, ki se izvede prek ukazne vrstice z vnosom niza gesel, dešifrira vdelan vir z imenom BIN in ga zažene neposredno v pomnilniku. Ta vir BIN razpakira in izvede končno zakrito koristno obremenitev, ki temelji na Go, ki izkorišča različne ranljive, legitimne gonilnike za pridobitev višjih privilegijev in onemogočanje programske opreme EDR.

Lastnost jezika binarne datoteke je nastavljena na ruščino, kar nakazuje, da je bila zlonamerna programska oprema prevedena v sistemu z nastavitvami ruske lokalizacije. Vsa nezapakirana orodja za onemogočanje EDR vdelajo ranljiv gonilnik v razdelek .data.

Priporočljivo je, da sisteme posodabljate, omogočite zaščito pred posegi v programski opremi EDR in vzdržujete stroge varnostne prakse za vloge Windows, da ublažite to grožnjo. Ta napad je izvedljiv le, če lahko napadalec poveča privilegije ali pridobi skrbniške pravice. Zagotavljanje jasne ločitve med uporabniškimi in skrbniškimi pravicami lahko izjemno pomaga pri preprečevanju napadalcem, da bi preprosto naložili poškodovane gonilnike.

Kako povečati varnost svojih naprav pred okužbami z zlonamerno programsko opremo?

Za izboljšanje varnosti naprave in zaščito pred okužbami z zlonamerno programsko opremo, uporabnike spodbujamo, da sprejmejo naslednje obsežne najboljše prakse:

• Redne posodobitve programske opreme: Operacijski sistem: Zagotovite, da je vaš operacijski sistem redno nadgrajen z najnovejšimi varnostnimi popravki in posodobitvami za odpravo in odpravo znanih ranljivosti. Aplikacije: redno posodabljajte vso nameščeno programsko opremo, vključno s spletnimi brskalniki, vtičniki in drugimi aplikacijami, da ohranite varnost in funkcionalnost.

• Močna in edinstvena gesla: Kompleksnost gesel: Ustvarite zapletena gesla, ki združujejo črke, številke in simbole za večjo varnost. Upravljanje gesel: Uporabite uglednega upravitelja gesel za ustvarjanje, shranjevanje in upravljanje edinstvenih gesel za vsak račun, s čimer zmanjšate tveganje kršitev, povezanih z geslom.

• Dvofaktorska avtentikacija (2FA) : Dodatna varnost: Izvedite dvofaktorsko avtentikacijo na vseh računih in storitvah, ki jo podpirajo, ter dodajte še eno plast varnosti poleg tradicionalnih gesel.

• Programska oprema proti zlonamerni programski opremi: Zaščita v realnem času: namestite in vzdržujte zaupanja vredne programe proti zlonamerni programski opremi, ki nudijo zaščito v realnem času in izvajajo redne preglede za odkrivanje in nevtralizacijo groženj. Posodobitve programa: Redno posodabljajte te varnostne programe, da zagotovite, da lahko prepoznajo nove in nastajajoče grožnje ter se učinkovito borijo proti njim.

• Prakse varnega brskanja: izogibajte se sumljivim povezavam: vzdržite se dostopanja do povezav ali prenašanja prilog iz neznanih ali sumljivih e-poštnih sporočil, da preprečite okužbe z zlonamerno programsko opremo. Preverite spletna mesta: Preden vnesete kakršne koli zasebne podatke, preverite, ali gre za varna in zakonita spletna mesta, tako da v URL-ju preverite HTTPS.

• Redne varnostne kopije: varnostno kopiranje podatkov: pogosto varnostno kopirajte kritične podatke v neodvisno napravo za shranjevanje ali storitev v oblaku, da zmanjšate morebitno izgubo podatkov v primeru napada z zlonamerno programsko opremo.

• Konfiguracija požarnega zidu: Omrežna zaščita: Uporabite požarni zid za uravnavanje dohodnega in odhodnega omrežnega prometa, s čimer blokirate nepooblaščen dostop in povečate varnost omrežja.

• Uporabniški privilegiji: Načelo najmanjših privilegijev: Namesto skrbniškega računa uporabljajte običajni uporabniški račun, da omejite potencialni vpliv zlonamerne programske opreme na delovanje sistema. Ločeni računi: vzdržujte ločene račune za rutinske dejavnosti in administrativna opravila, da zmanjšate tveganje nepooblaščenega povečevanja privilegijev.

• Izobraževanje in ozaveščanje: Ozaveščanje o lažnem predstavljanju: Bodite obveščeni o pogostih taktikah lažnega predstavljanja in taktikah socialnega inženiringa, da zmanjšate možnost, da postanete žrtev takih napadov. Stalno usposabljanje: Nenehno sodelujte pri usposabljanju in izobraževalnih virih, da boste vedno na tekočem z najnovejšimi varnostnimi grožnjami in najboljšimi praksami.

S sprejetjem teh najboljših praks lahko uporabniki znatno okrepijo svojo obrambo pred okužbami z zlonamerno programsko opremo in drugimi varnostnimi grožnjami, s čimer povečajo splošno varnost in celovitost sistema.

Zlonamerna programska oprema EDRKillShifter Video

Nasvet: Obrnite zvok ON in si ogledate video v Full Screen načinu.