มัลแวร์ EDRKillShifter

โดย Mezo ใน Malware

แปลเป็น:

กลุ่มอาชญากรไซเบอร์ที่เกี่ยวข้องกับ RansomHub Ransomware ถูกพบว่ากำลังปรับใช้เครื่องมือใหม่ที่มุ่งเป้าไปที่การปิดการใช้งานซอฟต์แวร์การตรวจจับและตอบสนองปลายทาง (EDR) บนระบบที่ถูกบุกรุก ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ตั้งชื่อยูทิลิตี้ที่ปิดการใช้งาน EDR นี้ว่า "EDRKillShifter" เครื่องมือนี้ถูกค้นพบหลังจากความพยายามโจมตีด้วยแรนซัมแวร์ที่ล้มเหลวในเดือนพฤษภาคม 2024 ปัจจุบัน EDRKillShifter เข้าร่วมกับโปรแกรมที่คล้ายคลึงกันอื่นๆ เช่น AuKill (หรือที่เรียกว่า AvNeutralizer) และ Terminator

EDRKillShifter ทำหน้าที่เป็นไฟล์ปฏิบัติการ 'ตัวโหลด' ซึ่งทำหน้าที่เป็นกลไกการส่งมอบไดรเวอร์ที่ถูกต้องตามกฎหมายแต่มีความเสี่ยง โดยทั่วไปเครื่องมือประเภทนี้เรียกว่า 'นำไดรเวอร์ที่มีความเสี่ยงมาเอง' (BYOVD) เครื่องมือนี้สามารถใช้งานเพย์โหลดไดรเวอร์ต่างๆ ได้ ขึ้นอยู่กับวัตถุประสงค์ของผู้ก่อให้เกิดภัยคุกคาม

สารบัญ

ใบหน้าใหม่ของกลุ่มอาชญากรไซเบอร์เก่า

RansomHub Ransomware เชื่อกันว่าเป็นเวอร์ชันที่เปลี่ยนชื่อใหม่ของ Knight Ransomwar e ซึ่งเปิดตัวในเดือนกุมภาพันธ์ 2024 โดย Ransomware ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยที่ทราบอยู่แล้วเพื่อเข้าถึงในเบื้องต้น โดยใช้เครื่องมือเดสก์ท็อประยะไกลที่ถูกต้องตามกฎหมาย เช่น Atera และ Splashtop เพื่อรักษาการเข้าถึงอย่างต่อเนื่อง เมื่อเดือนที่แล้ว Microsoft เปิดเผยว่ากลุ่มอาชญากรทางไซเบอร์ที่ฉาวโฉ่อย่าง Scattered Spider ได้เพิ่มสายพันธุ์แรนซัมแวร์ เช่น RansomHub และ Qilin ลงในชุดเครื่องมือของตน

ห่วงโซ่การโจมตีและการทำงานของ EDRKillShifter

เรียกใช้ผ่านบรรทัดคำสั่งโดยป้อนสตริงรหัสผ่าน ไฟล์ปฏิบัติการจะถอดรหัสทรัพยากรที่ฝังไว้ชื่อ BIN และรันโดยตรงในหน่วยความจำ ทรัพยากร BIN นี้จะแยกและเรียกใช้เพย์โหลดที่บดบังโดยใช้ Go ขั้นสุดท้าย ซึ่งใช้ประโยชน์จากไดรเวอร์ที่เสี่ยงและถูกต้องตามกฎหมายต่างๆ เพื่อรับสิทธิ์ที่สูงขึ้นและปิดใช้งานซอฟต์แวร์ EDR

คุณสมบัติภาษาของไบนารีถูกตั้งค่าเป็นภาษารัสเซีย ซึ่งบ่งบอกว่ามัลแวร์ถูกคอมไพล์บนระบบที่มีการตั้งค่าภาษารัสเซีย เครื่องมือที่ปิดการใช้งาน EDR ที่ถูกแยกแล้วทั้งหมดฝังไดรเวอร์ที่มีช่องโหว่ไว้ในส่วน .data

ขอแนะนำให้อัปเดตระบบ เปิดการใช้งานการป้องกันการปลอมแปลงในซอฟต์แวร์ EDR และรักษาแนวทางปฏิบัติด้านความปลอดภัยที่เข้มงวดสำหรับบทบาท Windows เพื่อลดภัยคุกคามนี้ การโจมตีนี้สามารถทำได้จริงก็ต่อเมื่อผู้โจมตีสามารถเพิ่มสิทธิ์หรือได้รับสิทธิ์ผู้ดูแลระบบได้ การแยกสิทธิ์ของผู้ใช้และผู้ดูแลระบบอย่างชัดเจนจะช่วยป้องกันไม่ให้ผู้โจมตีโหลดไดรเวอร์ที่เสียหายได้อย่างง่ายดาย

จะเพิ่มความปลอดภัยให้กับอุปกรณ์ของคุณจากการติดมัลแวร์ได้อย่างไร?

เพื่อเสริมสร้างความปลอดภัยให้กับอุปกรณ์และป้องกันการติดมัลแวร์ ผู้ใช้ควรปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดที่ครอบคลุมดังต่อไปนี้:

การอัปเดตซอฟต์แวร์เป็นประจำ: ระบบปฏิบัติการ: ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการของคุณได้รับการอัปเกรดด้วยแพตช์ความปลอดภัยและการอัปเดตล่าสุดเป็นประจำเพื่อแก้ไขและแก้ไขช่องโหว่ที่ทราบ แอปพลิเคชัน: อัปเดตซอฟต์แวร์ที่ติดตั้งทั้งหมดเป็นประจำ รวมทั้งเว็บเบราว์เซอร์ ปลั๊กอิน และแอปพลิเคชันอื่นๆ เพื่อรักษาความปลอดภัยและการทำงาน

รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน: ความซับซ้อนของรหัสผ่าน: สร้างรหัสผ่านที่ซับซ้อนซึ่งประกอบด้วยตัวอักษร ตัวเลข และสัญลักษณ์เพื่อเพิ่มความปลอดภัย การจัดการรหัสผ่าน: ใช้โปรแกรมจัดการรหัสผ่านที่มีชื่อเสียงเพื่อสร้าง จัดเก็บ และจัดการรหัสผ่านที่ไม่ซ้ำกันสำหรับแต่ละบัญชี จึงช่วยลดความเสี่ยงในการละเมิดรหัสผ่าน

การยืนยันตัวตนแบบสองปัจจัย (2FA) : ความปลอดภัยเพิ่มเติม: นำการยืนยันตัวตนแบบสองปัจจัยมาใช้กับบัญชีและบริการทั้งหมดที่รองรับ โดยเพิ่มระดับความปลอดภัยอีกชั้นหนึ่งนอกเหนือไปจากการใช้รหัสผ่านแบบเดิม

ซอฟต์แวร์ป้องกันมัลแวร์: การป้องกันแบบเรียลไทม์: ติดตั้งและบำรุงรักษาโปรแกรมป้องกันมัลแวร์ที่เชื่อถือได้ซึ่งให้การป้องกันแบบเรียลไทม์และสแกนเป็นประจำเพื่อตรวจจับและกำจัดภัยคุกคาม การอัปเดตโปรแกรม: อัปเดตโปรแกรมความปลอดภัยเหล่านี้เป็นประจำเพื่อให้แน่ใจว่าสามารถระบุและต่อสู้กับภัยคุกคามใหม่ๆ ที่เกิดขึ้นได้อย่างมีประสิทธิภาพ

แนวทางปฏิบัติในการท่องเว็บอย่างปลอดภัย: หลีกเลี่ยงลิงก์ที่น่าสงสัย: หลีกเลี่ยงการเข้าถึงลิงก์หรือดาวน์โหลดไฟล์แนบจากอีเมลที่ไม่คุ้นเคยหรือที่น่าสงสัยเพื่อป้องกันการติดมัลแวร์ ตรวจสอบเว็บไซต์: ตรวจสอบให้แน่ใจว่าคุณกำลังเข้าสู่เว็บไซต์ที่ปลอดภัยและถูกต้องตามกฎหมายโดยตรวจสอบ HTTPS ใน URL ก่อนป้อนข้อมูลส่วนตัวใดๆ

การสำรองข้อมูลเป็นประจำ: การสำรองข้อมูล: สำรองข้อมูลสำคัญไปยังอุปกรณ์จัดเก็บข้อมูลอิสระหรือบริการคลาวด์เป็นประจำ เพื่อลดการสูญเสียข้อมูลที่อาจเกิดขึ้นในกรณีที่ถูกโจมตีจากมัลแวร์

การกำหนดค่าไฟร์วอลล์: การป้องกันเครือข่าย: ใช้ไฟร์วอลล์เพื่อควบคุมการรับส่งข้อมูลเครือข่ายทั้งขาเข้าและขาออก จึงบล็อกการเข้าถึงที่ไม่ได้รับอนุญาตและเพิ่มความปลอดภัยให้กับเครือข่าย

สิทธิ์ของผู้ใช้: หลักการสิทธิ์ขั้นต่ำ: แทนที่จะใช้บัญชีผู้ดูแลระบบ ให้ใช้งานด้วยบัญชีผู้ใช้ทั่วไปเพื่อจำกัดผลกระทบที่อาจเกิดขึ้นจากมัลแวร์ต่อการทำงานของระบบ บัญชีแยกประเภท: จัดการบัญชีแยกประเภทสำหรับกิจกรรมประจำวันและงานดูแลระบบเพื่อลดความเสี่ยงของการยกระดับสิทธิ์โดยไม่ได้รับอนุญาต

การศึกษาและการตระหนักรู้: การตระหนักรู้เกี่ยวกับการฟิชชิ่ง: คอยติดตามข้อมูลเกี่ยวกับกลวิธีฟิชชิ่งทั่วไปและกลวิธีทางวิศวกรรมสังคมเพื่อลดความเสี่ยงในการตกเป็นเหยื่อของการโจมตีดังกล่าว การฝึกอบรมอย่างต่อเนื่อง: เข้าร่วมการฝึกอบรมและทรัพยากรด้านการศึกษาอย่างต่อเนื่องเพื่อให้ได้รับข้อมูลอัปเดตเกี่ยวกับภัยคุกคามด้านความปลอดภัยล่าสุดและแนวทางปฏิบัติที่ดีที่สุด

การนำแนวทางปฏิบัติที่ดีที่สุดเหล่านี้มาใช้ ผู้ใช้สามารถเสริมการป้องกันตนเองต่อการติดมัลแวร์และภัยคุกคามความปลอดภัยอื่นๆ ได้อย่างมีนัยสำคัญ ซึ่งจะช่วยเพิ่มความปลอดภัยและความสมบูรณ์ของระบบโดยรวม