Phần mềm độc hại EDRKillShifter

Một nhóm tội phạm mạng liên quan đến RansomHub Ransomware đã bị phát hiện triển khai một công cụ mới nhằm vô hiệu hóa phần mềm phát hiện và phản hồi điểm cuối (EDR) trên các hệ thống bị xâm phạm. Các chuyên gia an ninh mạng đã đặt tên cho tiện ích vô hiệu hóa EDR này là "EDRKillShifter". Công cụ này được phát hiện sau một nỗ lực ransomware không thành công vào tháng 5 năm 2024. EDRKillShifter hiện đã tham gia các chương trình tương tự khác, chẳng hạn như AuKill (còn được gọi là AvNeutralizer) và Terminator.

EDRKillShifter hoạt động như một chương trình thực thi 'loader', đóng vai trò là cơ chế phân phối cho trình điều khiển hợp lệ nhưng dễ bị tấn công—loại công cụ này thường được gọi là 'mang theo trình điều khiển dễ bị tấn công của riêng bạn' (BYOVD). Tùy thuộc vào mục tiêu của tác nhân đe dọa, nó có thể triển khai nhiều tải trọng trình điều khiển khác nhau.

Gương mặt mới của một nhóm tội phạm mạng cũ

RansomHub Ransomware được cho là phiên bản đổi tên của Knight Ransomwar e, xuất hiện vào tháng 2 năm 2024. Nó khai thác các lỗ hổng bảo mật đã biết để có được quyền truy cập ban đầu, triển khai các công cụ máy tính từ xa hợp pháp như Atera và Splashtop để duy trì quyền truy cập liên tục. Chỉ trong tháng trước, Microsoft đã tiết lộ rằng nhóm tội phạm mạng khét tiếng Scattered Spider đã thêm các chủng ransomware như RansomHub và Qilin vào bộ công cụ của mình.

Chuỗi tấn công và hoạt động của EDRKillShifter

Được thực hiện thông qua dòng lệnh với đầu vào là chuỗi mật khẩu, tệp thực thi giải mã một tài nguyên nhúng có tên là BIN và chạy trực tiếp trong bộ nhớ. Tài nguyên BIN này giải nén và thực thi một tải trọng cuối cùng dựa trên Go, được mã hóa, khai thác nhiều trình điều khiển hợp pháp, dễ bị tấn công để giành được các đặc quyền nâng cao và vô hiệu hóa phần mềm EDR.

Thuộc tính ngôn ngữ của tệp nhị phân được đặt thành tiếng Nga, cho thấy phần mềm độc hại được biên dịch trên hệ thống có cài đặt bản địa hóa tiếng Nga. Tất cả các công cụ vô hiệu hóa EDR đã giải nén đều nhúng trình điều khiển dễ bị tấn công trong phần .data.

Nên cập nhật hệ thống, bật chế độ bảo vệ chống giả mạo trong phần mềm EDR và duy trì các biện pháp bảo mật mạnh mẽ cho các vai trò Windows để giảm thiểu mối đe dọa này. Cuộc tấn công này chỉ khả thi nếu kẻ tấn công có thể leo thang đặc quyền hoặc giành được quyền quản trị viên. Đảm bảo phân tách rõ ràng giữa đặc quyền của người dùng và quản trị viên có thể giúp ngăn chặn kẻ tấn công dễ dàng tải trình điều khiển bị hỏng.

Làm thế nào để tăng cường bảo mật cho thiết bị của bạn chống lại nhiễm phần mềm độc hại?

Để tăng cường bảo mật thiết bị và bảo vệ chống lại các phần mềm độc hại, người dùng được khuyến khích áp dụng các biện pháp thực hành tốt nhất toàn diện sau đây:

• Cập nhật phần mềm thường xuyên: Hệ điều hành: Đảm bảo hệ điều hành của bạn được nâng cấp thường xuyên với các bản vá và bản cập nhật bảo mật mới nhất để giải quyết và khắc phục các lỗ hổng đã biết. Ứng dụng: Cập nhật thường xuyên tất cả phần mềm đã cài đặt, bao gồm trình duyệt web, plugin và các ứng dụng khác, để duy trì bảo mật và chức năng.

• Mật khẩu mạnh và duy nhất: Độ phức tạp của mật khẩu: Tạo mật khẩu phức tạp kết hợp chữ cái, số và ký hiệu để tăng cường bảo mật. Quản lý mật khẩu: Sử dụng trình quản lý mật khẩu uy tín để tạo, lưu trữ và quản lý mật khẩu duy nhất cho từng tài khoản, do đó giảm nguy cơ vi phạm liên quan đến mật khẩu.

• Xác thực hai yếu tố (2FA) : Bảo mật bổ sung: Triển khai xác thực hai yếu tố trên tất cả các tài khoản và dịch vụ hỗ trợ, bổ sung thêm một lớp bảo mật ngoài mật khẩu truyền thống.

• Phần mềm chống phần mềm độc hại: Bảo vệ theo thời gian thực: Cài đặt và duy trì các chương trình chống phần mềm độc hại đáng tin cậy cung cấp khả năng bảo vệ theo thời gian thực và thực hiện quét thường xuyên để phát hiện và vô hiệu hóa các mối đe dọa. Cập nhật chương trình: Thường xuyên cập nhật các chương trình bảo mật này để đảm bảo chúng có thể xác định và chống lại các mối đe dọa mới và đang nổi lên một cách hiệu quả.

• Thực hành duyệt web an toàn: Tránh các liên kết đáng ngờ: Không truy cập các liên kết hoặc tải xuống tệp đính kèm từ các email lạ hoặc đáng ngờ để ngăn ngừa nhiễm phần mềm độc hại. Xác minh trang web: Đảm bảo rằng bạn đang điều hướng đến các trang web an toàn và hợp pháp bằng cách kiểm tra HTTPS trong URL trước khi nhập bất kỳ thông tin riêng tư nào.

• Sao lưu thường xuyên: Sao lưu dữ liệu: Thường xuyên sao lưu dữ liệu quan trọng vào thiết bị lưu trữ độc lập hoặc dịch vụ đám mây để giảm thiểu nguy cơ mất dữ liệu trong trường hợp bị phần mềm độc hại tấn công.

• Cấu hình tường lửa: Bảo vệ mạng: Sử dụng tường lửa để điều chỉnh cả lưu lượng mạng đến và đi, do đó chặn truy cập trái phép và tăng cường bảo mật mạng.

• Quyền của người dùng: Nguyên tắc đặc quyền tối thiểu: Thay vì tài khoản quản trị viên, hãy sử dụng tài khoản người dùng thông thường để hạn chế tác động tiềm ẩn của phần mềm độc hại lên hoạt động của hệ thống. Tài khoản riêng biệt: Duy trì các tài khoản riêng biệt cho các hoạt động thường xuyên và nhiệm vụ quản trị để giảm thiểu rủi ro leo thang đặc quyền trái phép.

• Giáo dục và Nhận thức: Nhận thức về lừa đảo: Luôn cập nhật thông tin về các chiến thuật lừa đảo phổ biến và các chiến thuật kỹ thuật xã hội để giảm khả năng trở thành nạn nhân của các cuộc tấn công như vậy. Đào tạo liên tục: Liên tục tham gia các nguồn đào tạo và giáo dục để luôn cập nhật về các mối đe dọa bảo mật mới nhất và các biện pháp thực hành tốt nhất.

Bằng cách áp dụng các biện pháp tốt nhất này, người dùng có thể tăng cường đáng kể khả năng phòng thủ chống lại các phần mềm độc hại và các mối đe dọa bảo mật khác, nâng cao tính toàn vẹn và bảo mật của toàn bộ hệ thống.

Phần mềm độc hại EDRKillShifter Video

Mẹo: BẬT âm thanh của bạn và xem video ở chế độ Toàn màn hình .