EDRKillShifter Malware

До Mezo. у Malware

Преведи на:

Група сајбер криминала повезана са РансомХуб Рансомваре примећена је како примењује нови алат који има за циљ онемогућавање софтвера за откривање крајњих тачака и одговор (ЕДР) на компромитованим системима. Стручњаци за сајбер безбедност назвали су овај услужни програм за онемогућавање ЕДР-а „ЕДРКиллСхифтер“. Алат је откривен након неуспелог покушаја рансомвера у мају 2024. ЕДРКиллСхифтер се сада придружује другим сличним програмима, као што су АуКилл (такође познат као АвНеутрализер) и Терминатор.

ЕДРКиллСхифтер функционише као извршни програм за учитавање, који служи као механизам за испоруку легитимног, али рањивог драјвера—овај тип алата је обично познат као „донесите свој рањиви драјвер“ (БИОВД). У зависности од циљева актера претње, може да примени различите носивости возача.

Преглед садржаја

Ново лице старе групе за сајбер криминал

Верује се да је РансомХуб Рансомваре ребрендирана верзија Книгхт Рансомвар е, која се појавила у фебруару 2024. Он искоришћава познате безбедносне пропусте да би добио почетни приступ, примењујући легитимне алатке за удаљену радну површину као што су Атера и Спласхтоп да би одржао упоран приступ. Само прошлог месеца, Мицрософт је открио да је злогласна група за сајбер криминал Сцаттеред Спидер додала сојеве рансомваре-а као што су РансомХуб и Килин у свој комплет алата.

Ланац напада и рад ЕДРКиллСхифтер-а

Извршен преко командне линије са уносом низа лозинке, извршни фајл дешифрује уграђени ресурс под називом БИН и покреће га директно у меморији. Овај БИН ресурс распакује и извршава коначан, замагљен корисни терет заснован на Го-у, који искоришћава различите рањиве, легитимне драјвере да би добио повишене привилегије и онемогућио ЕДР софтвер.

Својство језика бинарне датотеке је подешено на руски, што сугерише да је малвер компајлиран на систему са руским подешавањима локализације. Сви распаковани алати за онемогућавање ЕДР-а уграђују рањиви драјвер у одељак .дата.

Препоручује се да се системи ажурирају, да се омогући заштита од неовлашћеног приступа у ЕДР софтверу и да се одржавају јаке безбедносне праксе за Виндовс улоге да би се ублажила ова претња. Овај напад је изводљив само ако нападач може да ескалира привилегије или добије администраторска права. Обезбеђивање јасног одвајања између привилегија корисника и администратора може у великој мери помоћи у спречавању нападача да лако учитавају оштећене драјвере.

Како повећати сигурност својих уређаја од инфекција злонамјерним софтвером?

Да би ојачали безбедност уређаја и заштитили од инфекција малвером, корисници се подстичу да усвоје следеће свеобухватне најбоље праксе:

Редовне надоградње софтвера: Оперативни систем: Уверите се да се ваш оперативни систем редовно надограђује најновијим безбедносним закрпама и исправкама како бисте адресирали и отклонили познате рањивости. Апликације: Редовно ажурирајте сав инсталирани софтвер, укључујући веб прегледаче, додатке и друге апликације, да бисте одржали безбедност и функционалност.

Јаке и јединствене лозинке: Сложеност лозинки: Креирајте сложене лозинке које комбинују слова, бројеве и симболе како би побољшали безбедност. Управљање лозинкама: Користите реномирани менаџер лозинки за генерисање, складиштење и управљање јединственим лозинкама за сваки налог, чиме се смањује ризик од кршења лозинки.

Двофакторска аутентикација (2ФА) : Додатна сигурност: Имплементирајте двофакторску аутентификацију на све налоге и услуге које је подржавају, додајући још један слој сигурности осим традиционалних лозинки.

Софтвер за заштиту од малвера: Заштита у реалном времену: Инсталирајте и одржавајте поуздане програме за заштиту од малвера који нуде заштиту у реалном времену и спроводе редовна скенирања како би открили и неутралисали претње. Ажурирања програма: Редовно ажурирајте ове безбедносне програме како бисте били сигурни да могу ефикасно да идентификују нове и нове претње и да се боре против њих.

Пракса безбедног прегледања: Избегавајте сумњиве везе: Уздржите се од приступа везама или преузимања прилога са непознатих или сумњивих е-порука да бисте спречили заразе малвером. Верификујте веб локације: Уверите се да идете до безбедних и легитимних веб локација тако што ћете проверити ХТТПС у УРЛ-у пре него што унесете било какве приватне информације.

Редовне резервне копије: Резервна копија података: Често правите резервне копије критичних података на независном уређају за складиштење или услузи у облаку да бисте смањили потенцијални губитак података у случају напада малвера.

Конфигурација заштитног зида: Заштита мреже: Користите заштитни зид да регулишете и долазни и одлазни мрежни саобраћај, чиме се блокира неовлашћени приступ и побољшава безбедност мреже.

Корисничке привилегије: Принцип најмање привилегија: Уместо администраторског налога, користите обичан кориснички налог да бисте ограничили потенцијални утицај малвера на рад система. Одвојени налози: Одржавајте различите налоге за рутинске активности и административне задатке да бисте ублажили ризик од неовлашћеног ескалације привилегија.

Образовање и свест: Свест о пхисхинг-у: Будите информисани о уобичајеним тактикама пхисхинг-а и тактикама друштвеног инжењеринга како бисте умањили могућност да постанете жртва таквих напада. Стална обука: Континуирано се укључите у обуку и образовне ресурсе како бисте били у току са најновијим безбедносним претњама и најбољим праксама.

Усвајањем ових најбољих пракси, корисници могу значајно да ојачају своју одбрану од инфекција малвером и других безбедносних претњи, побољшавајући укупну безбедност и интегритет система.