EDRKillShifter Malware

Med Mezo år Malware

Översätt till:

En cyberbrottsgrupp associerad med RansomHub Ransomware har upptäckts som distribuerar ett nytt verktyg som syftar till att inaktivera endpoint detection and response (EDR)-programvara på komprometterade system. Cybersäkerhetsexperter har döpt detta EDR-inaktiverande verktyg till "EDRKillShifter." Verktyget upptäcktes efter ett misslyckat ransomware-försök i maj 2024. EDRKillShifter går nu med i andra liknande program, som AuKill (även känd som AvNeutralizer) och Terminator.

EDRKillShifter fungerar som en "loader"-körbar, och fungerar som en leveransmekanism för en legitim men sårbar förare - den här typen av verktyg är vanligtvis känd som en "bring your own vulnerable driver" (BYOVD). Beroende på hotaktörens mål kan den distribuera olika förarnyttolaster.

Innehållsförteckning

Nytt ansikte för en gammal cyberbrottsgrupp

RansomHub Ransomware som tros vara en omdöpt version av Knight Ransomwar e, dök upp i februari 2024. Den utnyttjar kända säkerhetsbrister för att få initial åtkomst, och distribuerar legitima fjärrskrivbordsverktyg som Atera och Splashtop för att upprätthålla beständig åtkomst. Bara förra månaden avslöjade Microsoft att den ökända cyberbrottsgruppen Scattered Spider har lagt till ransomware-stammar som RansomHub och Qilin till sin verktygslåda.

Attackkedja och drift av EDRillShifter

Exekverat via kommandoraden med en lösenordsstränginmatning, dekrypterar den körbara en inbäddad resurs med namnet BIN och kör den direkt i minnet. Denna BIN-resurs packar upp och kör en sista Go-baserad, fördunklad nyttolast, som utnyttjar olika sårbara, legitima drivrutiner för att få förhöjda privilegier och inaktivera EDR-programvara.

Binärens språkegenskap är inställd på ryska, vilket tyder på att skadlig programvara kompilerades på ett system med ryska lokaliseringsinställningar. Alla uppackade EDR-inaktiveringsverktyg bäddar in en sårbar drivrutin i .data-sektionen.

Det rekommenderas att hålla systemen uppdaterade, aktivera manipuleringsskydd i EDR-programvara och upprätthålla starka säkerhetsrutiner för Windows-roller för att mildra detta hot. Denna attack är endast genomförbar om angriparen kan eskalera privilegier eller få administratörsrättigheter. Att säkerställa en tydlig åtskillnad mellan användar- och administratörsbehörigheter kan hjälpa enormt att förhindra att angripare enkelt laddar skadade drivrutiner.

Hur ökar du säkerheten för dina enheter mot infektioner med skadlig programvara?

För att stärka enhetens säkerhet och skydda mot infektioner med skadlig programvara, uppmanas användare att använda följande omfattande bästa praxis:

Regelbundna programuppdateringar: Operativsystem: Se till att ditt operativsystem regelbundet uppgraderas med de senaste säkerhetskorrigeringarna och uppdateringarna för att åtgärda och åtgärda kända sårbarheter. Applikationer: Uppdatera regelbundet all installerad programvara, inklusive webbläsare, plugins och andra applikationer, för att upprätthålla säkerhet och funktionalitet.

Starka och unika lösenord: Lösenordskomplexitet: Skapa komplexa lösenord som kombinerar bokstäver, siffror och symboler för att förbättra säkerheten. Lösenordshantering: Använd en ansedd lösenordshanterare för att generera, lagra och hantera unika lösenord för varje konto, och därigenom minska risken för lösenordsrelaterade intrång.

Tvåfaktorsautentisering (2FA) : Ytterligare säkerhet: Implementera tvåfaktorsautentisering på alla konton och tjänster som stöder det, och lägg till ytterligare ett lager av säkerhet utöver traditionella lösenord.

Anti-malware-programvara: Realtidsskydd: Installera och underhåll pålitliga anti-malware-program som erbjuder realtidsskydd och genomför regelbundna genomsökningar för att upptäcka och neutralisera hot. Programuppdateringar: Uppdatera regelbundet dessa säkerhetsprogram för att säkerställa att de kan identifiera och bekämpa nya och framväxande hot effektivt.

Säker webbsökning: Undvik misstänkta länkar: Avstå från att komma åt länkar eller ladda ner bilagor från okända eller misstänkta e-postmeddelanden för att förhindra infektioner med skadlig programvara. Verifiera webbplatser: Se till att du navigerar till säkra och legitima webbplatser genom att kontrollera efter HTTPS i webbadressen innan du anger någon privat information.

Regelbundna säkerhetskopieringar: Datasäkerhetskopiering: Säkerhetskopiera ofta viktiga data till en oberoende lagringsenhet eller en molntjänst för att minimera potentiell dataförlust i händelse av en attack med skadlig programvara.

Brandväggskonfiguration: Nätverksskydd: Använd en brandvägg för att reglera både inkommande och utgående nätverkstrafik och därigenom blockera obehörig åtkomst och förbättra nätverkssäkerheten.

Användarprivilegier: Minsta privilegieprincip: Istället för ett administratörskonto använder du ett vanligt användarkonto för att begränsa den potentiella inverkan av skadlig programvara på systemdriften. Separata konton: Upprätthåll distinkta konton för rutinaktiviteter och administrativa uppgifter för att minska risken för obehörig eskalering av behörigheter.

Utbildning och medvetenhet: Medvetenhet om nätfiske: Håll dig informerad om vanliga nätfisketaktik och social ingenjörsteknik för att minska möjligheten att falla offer för sådana attacker. Pågående utbildning: Engagera dig kontinuerligt i utbildnings- och utbildningsresurser för att hålla dig uppdaterad om de senaste säkerhetshoten och bästa praxis.

Genom att använda dessa bästa metoder kan användare avsevärt stärka sitt försvar mot infektioner med skadlig programvara och andra säkerhetshot, vilket förbättrar systemets övergripande säkerhet och integritet.