Multi-License Discount Quote
Tehdit Veritabanı Malware EDRKillShifter Kötü Amaçlı Yazılım

EDRKillShifter Kötü Amaçlı Yazılım

Mezo'de Malware'de
Çevir:
Türkçe

RansomHub Ransomware ile ilişkili bir siber suç grubu, tehlikeye atılmış sistemlerde uç nokta algılama ve yanıt (EDR) yazılımını devre dışı bırakmayı amaçlayan yeni bir araç dağıtırken görüldü. Siber güvenlik uzmanları bu EDR devre dışı bırakma yardımcı programına "EDRKillShifter" adını verdiler. Araç, Mayıs 2024'te başarısız bir fidye yazılımı girişiminin ardından keşfedildi. EDRKillShifter artık AuKill (AvNeutralizer olarak da bilinir) ve Terminator gibi diğer benzer programlara katılıyor.

EDRKillShifter, meşru ancak savunmasız bir sürücü için bir dağıtım mekanizması görevi gören bir 'yükleyici' yürütülebilir dosyası olarak işlev görür; bu tür araçlar genellikle 'kendi savunmasız sürücünüzü getirin' (BYOVD) olarak bilinir. Tehdit aktörünün hedeflerine bağlı olarak çeşitli sürücü yüklerini dağıtabilir.

Eski Bir Siber Suç Grubunun Yeni Yüzü

Knight Ransomwar e'nin yeniden markalanmış bir versiyonu olduğuna inanılan RansomHub Fidye Yazılımı , Şubat 2024'te ortaya çıktı. İlk erişimi elde etmek için bilinen güvenlik açıklarını istismar ediyor ve kalıcı erişimi sürdürmek için Atera ve Splashtop gibi meşru uzak masaüstü araçlarını kullanıyor. Microsoft, daha geçen ay, kötü şöhretli siber suç grubu Scattered Spider'ın araç setine RansomHub ve Qilin gibi fidye yazılımı türlerini eklediğini açıkladı.

EDRKillShifter’ın Saldırı Zinciri ve İşleyişi

Parola dizesi girişiyle komut satırı üzerinden yürütülen yürütülebilir dosya, BIN adlı gömülü bir kaynağı şifresini çözer ve doğrudan bellekte çalıştırır. Bu BIN kaynağı, çeşitli savunmasız, meşru sürücüleri kullanarak yükseltilmiş ayrıcalıklar elde eden ve EDR yazılımını devre dışı bırakan son bir Go tabanlı, gizlenmiş yükü açar ve yürütür.

İkili dosyanın dil özelliği Rusça olarak ayarlanmıştır, bu da kötü amaçlı yazılımın Rusça yerelleştirme ayarlarına sahip bir sistemde derlendiğini göstermektedir. Paketten çıkarılan tüm EDR devre dışı bırakma araçları .data bölümüne güvenlik açığı olan bir sürücü yerleştirir.

Bu tehdidi azaltmak için sistemleri güncel tutmanız, EDR yazılımında kurcalama korumasını etkinleştirmeniz ve Windows rolleri için güçlü güvenlik uygulamaları sürdürmeniz önerilir. Bu saldırı yalnızca saldırgan ayrıcalıkları yükseltebilir veya yönetici hakları elde edebilirse uygulanabilir. Kullanıcı ve yönetici ayrıcalıkları arasında net bir ayrım sağlamak, saldırganların bozuk sürücüleri kolayca yüklemesini önlemede muazzam bir şekilde yardımcı olabilir.

Cihazlarınızın Kötü Amaçlı Yazılım Enfeksiyonlarına Karşı Güvenliğini Nasıl Artırabilirsiniz?

Cihaz güvenliğini güçlendirmek ve kötü amaçlı yazılım enfeksiyonlarına karşı koruma sağlamak için kullanıcıların aşağıdaki kapsamlı en iyi uygulamaları benimsemeleri önerilir:

  • Düzenli Yazılım Güncellemeleri: İşletim Sistemi: Bilinen güvenlik açıklarını gidermek ve düzeltmek için işletim sisteminizin en son güvenlik yamaları ve güncellemeleriyle düzenli olarak güncellendiğinden emin olun. Uygulamalar: Güvenliği ve işlevselliği korumak için Web tarayıcıları, eklentiler ve diğer uygulamalar dahil olmak üzere yüklü tüm yazılımları düzenli olarak güncelleyin.
  • Güçlü ve Benzersiz Parolalar: Parola Karmaşıklığı: Güvenliği artırmak için harfleri, sayıları ve sembolleri birleştiren karmaşık parolalar oluşturun. Parola Yönetimi: Her hesap için benzersiz parolalar oluşturmak, depolamak ve yönetmek için saygın bir parola yöneticisi kullanın, böylece parolayla ilgili ihlal riskini azaltın.
  • İki Faktörlü Kimlik Doğrulama (2FA) : Ek Güvenlik: Geleneksel parolaların ötesinde bir güvenlik katmanı daha ekleyerek, bunu destekleyen tüm hesaplarda ve hizmetlerde iki faktörlü kimlik doğrulamayı uygulayın.
  • Kötü Amaçlı Yazılım Önleme Yazılımı: Gerçek Zamanlı Koruma: Gerçek zamanlı koruma sunan ve tehditleri tespit edip etkisiz hale getirmek için düzenli taramalar gerçekleştiren güvenilir kötü amaçlı yazılım önleme programlarını yükleyin ve sürdürün. Program Güncellemeleri: Yeni ve ortaya çıkan tehditleri etkili bir şekilde tespit edip bunlarla mücadele edebilmelerini sağlamak için bu güvenlik programlarını düzenli olarak güncelleyin.
  • Güvenli Tarama Uygulamaları: Şüpheli Bağlantılardan Kaçının: Kötü amaçlı yazılım enfeksiyonlarını önlemek için, bilmediğiniz veya şüpheli e-postalardaki bağlantılara erişmekten veya ekleri indirmekten kaçının. Web Sitelerini Doğrulayın: Herhangi bir özel bilgi girmeden önce URL'de HTTPS olup olmadığını kontrol ederek güvenli ve meşru web sitelerine gittiğinizden emin olun.
  • Düzenli Yedeklemeler: Veri Yedekleme: Kötü amaçlı yazılım saldırısı durumunda olası veri kaybını en aza indirmek için kritik verilerinizi sık sık bağımsız bir depolama aygıtına veya bir bulut hizmetine yedekleyin.
  • Güvenlik Duvarı Yapılandırması: Ağ Koruması: Hem gelen hem de giden ağ trafiğini düzenlemek için bir güvenlik duvarı kullanın, böylece yetkisiz erişimi engelleyin ve ağ güvenliğini artırın.
  • Kullanıcı Ayrıcalıkları: En Az Ayrıcalık İlkesi: Yönetici hesabı yerine, kötü amaçlı yazılımın sistem operasyonları üzerindeki potansiyel etkisini sınırlamak için normal bir kullanıcı hesabı kullanarak çalışın. Ayrı Hesaplar: Yetkisiz ayrıcalık yükseltme riskini azaltmak için rutin etkinlikler ve idari görevler için ayrı hesaplar tutun.
  • Eğitim ve Farkındalık: Kimlik Avı Farkındalığı: Bu tür saldırılara kurban gitme olasılığını azaltmak için yaygın kimlik avı taktikleri ve sosyal mühendislik taktikleri hakkında bilgi sahibi olun. Sürekli Eğitim: En son güvenlik tehditleri ve en iyi uygulamalar hakkında güncel kalmak için sürekli olarak eğitim ve öğretim kaynaklarına katılın.

Kullanıcılar bu en iyi uygulamaları benimseyerek kötü amaçlı yazılım enfeksiyonlarına ve diğer güvenlik tehditlerine karşı savunmalarını önemli ölçüde güçlendirebilir, genel sistem güvenliğini ve bütünlüğünü artırabilirler.

EDRKillShifter Kötü Amaçlı Yazılım Video

İpucu: Sesi AÇIN ve videoyu Tam Ekran modunda izleyin .

trend

En çok görüntülenen

Yükleniyor...