Multi-License Discount Quote
Banta sa Database Malware EDRKillShifter Malware

EDRKillShifter Malware

Sa pamamagitan ng Mezo sa Malware
Isalin To:
Wikang Filipino

Isang pangkat ng cybercrime na nauugnay sa RansomHub Ransomware ang nakitang nagde-deploy ng bagong tool na naglalayong i-disable ang endpoint detection and response (EDR) software sa mga nakompromisong system. Pinangalanan ng mga eksperto sa cybersecurity ang EDR-disabled utility na ito na "EDRKillShifter." Natuklasan ang tool kasunod ng isang nabigong pagtatangka sa ransomware noong Mayo 2024. Sumasali na ngayon ang EDRKillShifter sa iba pang katulad na mga programa, gaya ng AuKill (kilala rin bilang AvNeutralizer) at Terminator.

Ang EDRKillShifter ay gumagana bilang isang 'loader' na maipapatupad, na nagsisilbing isang mekanismo ng paghahatid para sa isang lehitimong ngunit mahinang driver—ang uri ng tool na ito ay karaniwang kilala bilang isang 'dalhin ang iyong sariling vulnerable driver' (BYOVD). Depende sa mga layunin ng banta ng aktor, maaari itong mag-deploy ng iba't ibang mga kargamento ng driver.

Bagong Mukha ng Lumang Cybercrime Group

Ang RansomHub Ransomware na pinaniniwalaang isang na-rebranded na bersyon ng Knight Ransomwar e, ay lumabas noong Pebrero 2024. Sinasamantala nito ang mga kilalang kahinaan sa seguridad upang makakuha ng paunang pag-access, na nagde-deploy ng mga lehitimong remote desktop tool tulad ng Atera at Splashtop upang mapanatili ang patuloy na pag-access. Noong nakaraang buwan lang, ibinunyag ng Microsoft na ang kilalang cybercrime group na Scattered Spider ay nagdagdag ng mga strain ng ransomware tulad ng RansomHub at Qilin sa toolkit nito.

Attack Chain at Operation ng EDRKillShifter

Isinasagawa sa pamamagitan ng command line na may input string ng password, ang executable ay nagde-decrypt ng isang naka-embed na mapagkukunan na pinangalanang BIN at direktang pinapatakbo ito sa memorya. Ang mapagkukunang BIN na ito ay nag-unpack at nagpapatupad ng panghuling Go-based, na-obfuscate na kargamento, na nagsasamantala sa iba't ibang mahina, lehitimong driver upang makakuha ng mataas na mga pribilehiyo at hindi paganahin ang EDR software.

Ang property ng wika ng binary ay nakatakda sa Russian, na nagmumungkahi na ang malware ay pinagsama-sama sa isang system na may mga setting ng localization ng Russia. Ang lahat ng hindi naka-pack na tool sa pagpapagana ng EDR ay naka-embed ng isang mahinang driver sa loob ng seksyong .data.

Inirerekomenda na panatilihing na-update ang mga system, i-enable ang tamper protection sa EDR software, at mapanatili ang matibay na kasanayan sa seguridad para sa mga tungkulin ng Windows upang mabawasan ang banta na ito. Ang pag-atake na ito ay magagawa lamang kung ang umaatake ay maaaring magpalaki ng mga pribilehiyo o makakuha ng mga karapatan ng administrator. Ang pagtiyak ng malinaw na paghihiwalay sa pagitan ng mga pribilehiyo ng user at admin ay makakatulong nang malaki sa pagpigil sa mga umaatake na madaling mag-load ng mga sirang driver.

Paano Palakasin ang Seguridad ng Iyong Mga Device laban sa Mga Impeksyon sa Malware?

Upang palakasin ang seguridad ng device at maprotektahan laban sa mga impeksyon sa malware, hinihikayat ang mga user na gamitin ang mga sumusunod na komprehensibong pinakamahuhusay na kagawian:

  • Mga Regular na Update sa Software: Operating System: Tiyaking regular na na-upgrade ang iyong operating system gamit ang pinakabagong mga patch sa seguridad at mga update upang matugunan at maitama ang mga kilalang kahinaan. Mga Application: Regular na i-update ang lahat ng naka-install na software, kabilang ang mga Web browser, plugin, at iba pang mga application, upang mapanatili ang seguridad at functionality.
  • Matatag at Natatanging Mga Password: Pagiging Kumplikado ng Password: Lumikha ng mga kumplikadong password na pinagsama ang mga titik, numero, at simbolo upang mapahusay ang seguridad. Pamamahala ng Password: Gumamit ng isang kagalang-galang na tagapamahala ng password upang bumuo, mag-imbak, at mamahala ng mga natatanging password para sa bawat account, sa gayon ay binabawasan ang panganib ng mga paglabag na nauugnay sa password.
  • Two-Factor Authentication (2FA) : Karagdagang Seguridad: Ipatupad ang two-factor authentication sa lahat ng account at serbisyong sumusuporta dito, pagdaragdag ng isa pang layer ng seguridad na higit sa tradisyonal na mga password.
  • Anti-Malware Software: Real-Time na Proteksyon: Mag-install at magpanatili ng mga pinagkakatiwalaang anti-malware program na nag-aalok ng real-time na proteksyon at nagsasagawa ng mga regular na pag-scan upang matukoy at ma-neutralize ang mga banta. Mga Update sa Programa: Regular na i-update ang mga programang pangseguridad na ito upang matiyak na mabisang matutukoy at malalabanan nila ang mga bago at umuusbong na banta.
  • Mga Kasanayan sa Ligtas na Pagba-browse: Iwasan ang Mga Kahina-hinalang Link: Iwasan ang pag-access ng mga link o pag-download ng mga attachment mula sa hindi pamilyar o kahina-hinalang mga email upang maiwasan ang mga impeksyon sa malware. I-verify ang Mga Website: Tiyaking nagna-navigate ka sa secure at lehitimong mga website sa pamamagitan ng pagsuri para sa HTTPS sa URL bago maglagay ng anumang pribadong impormasyon.
  • Mga Regular na Pag-backup: Pag-backup ng Data: Madalas na i-back up ang mga kritikal na data sa isang independiyenteng storage device o isang serbisyo sa cloud upang mabawasan ang potensyal na pagkawala ng data sa kaganapan ng pag-atake ng malware.
  • Configuration ng Firewall: Proteksyon sa Network: Gumamit ng firewall upang kontrolin ang parehong papasok at papalabas na trapiko sa network, sa gayon ay hinaharangan ang hindi awtorisadong pag-access at pagpapahusay ng seguridad ng network.
  • Mga Pribilehiyo ng User: Prinsipyo ng Pinakamababang Pribilehiyo: Sa halip na isang account ng administrator, gumana gamit ang isang regular na account ng gumagamit upang limitahan ang potensyal na epekto ng malware sa mga pagpapatakbo ng system. Mga Hiwalay na Account: Panatilihin ang mga natatanging account para sa mga nakagawiang aktibidad at mga gawaing administratibo upang mabawasan ang panganib ng hindi awtorisadong pagtaas ng pribilehiyo.
  • Edukasyon at Kamalayan: Phishing Awareness: Manatiling may kaalaman tungkol sa mga karaniwang taktika sa phishing at mga taktika sa social engineering upang mabawasan ang posibilidad na maging biktima ng mga naturang pag-atake. Patuloy na Pagsasanay: Patuloy na makisali sa pagsasanay at mga mapagkukunang pang-edukasyon upang manatiling updated sa mga pinakabagong banta sa seguridad at pinakamahuhusay na kagawian.

Sa pamamagitan ng paggamit ng mga pinakamahuhusay na kagawian na ito, ang mga user ay maaaring makabuluhang palakasin ang kanilang mga depensa laban sa mga impeksyon ng malware at iba pang mga banta sa seguridad, na nagpapahusay sa pangkalahatang seguridad at integridad ng system.

EDRKillShifter Malware Video

Tip: I- ON ang iyong tunog at panoorin ang video sa Full Screen mode .

Trending

Pinaka Nanood

Naglo-load...