EDRKillShifter 恶意软件

通过Mezo在 Malware

翻译为：

一个与 RansomHub 勒索软件有关的网络犯罪集团被发现部署了一种新工具，旨在禁用受感染系统上的端点检测和响应 (EDR) 软件。网络安全专家将这款禁用 EDR 的实用程序命名为“EDRKillShifter”。该工具是在 2024 年 5 月的一次勒索软件攻击失败后被发现的。EDRKillShifter 现在加入了其他类似程序，例如AuKill （也称为 AvNeutralizer）和 Terminator。

EDRKillShifter 可充当“加载程序”可执行文件，作为合法但易受攻击的驱动程序的交付机制——这种类型的工具通常被称为“自带易受攻击的驱动程序”（BYOVD）。根据威胁行为者的目标，它可以部署各种驱动程序有效载荷。

旧网络犯罪集团的新面孔

RansomHub 勒索软件被认为是Knight Ransomwar的改版，于 2024 年 2 月出现。它利用已知的安全漏洞获取初始访问权限，部署 Atera 和 Splashtop 等合法的远程桌面工具来维持持久访问权限。就在上个月，微软披露，臭名昭著的网络犯罪组织 Scattered Spider 已将 RansomHub 和 Qilin 等勒索软件添加到其工具包中。

EDRKillShifter 的攻击链和操作

通过命令行输入密码字符串执行可执行文件，可解密名为 BIN 的嵌入式资源并直接在内存中运行。此 BIN 资源解压并执行最终的基于 Go 的混淆有效负载，该有效负载利用各种易受攻击的合法驱动程序来获取提升的权限并禁用 EDR 软件。

二进制文件的语言属性设置为俄语，表明该恶意软件是在具有俄语本地化设置的系统上编译的。所有未打包的 EDR 禁用工具都在 .data 部分中嵌入了一个易受攻击的驱动程序。

建议保持系统更新、在 EDR 软件中启用防篡改保护，并为 Windows 角色保持强大的安全实践，以减轻此威胁。只有当攻击者可以提升权限或获得管理员权限时，此攻击才可行。确保用户权限和管理员权限之间的明确分离可以极大地帮助防止攻击者轻易加载损坏的驱动程序。

如何增强设备抵御恶意软件感染的安全性？

为了加强设备安全性并防止恶意软件感染，鼓励用户采用以下全面的最佳做法：

定期软件更新：操作系统：确保您的操作系统定期升级到最新的安全补丁和更新，以解决和纠正已知漏洞。应用程序：定期更新所有已安装的软件，包括 Web 浏览器、插件和其他应用程序，以保持安全性和功能性。

强而独特的密码：密码复杂性：创建结合字母、数字和符号的复杂密码以增强安全性。密码管理：利用信誉良好的密码管理器为每个帐户生成、存储和管理独特的密码，从而降低与密码相关的泄露风险。

双因素身份验证 (2FA) ：额外的安全性：在所有支持它的帐户和服务上实施双因素身份验证，在传统密码之外增加一层安全性。

反恶意软件：实时保护：安装并维护提供实时保护的可信反恶意软件程序，并定期进行扫描以检测和消除威胁。程序更新：定期更新这些安全程序，以确保它们能够有效识别和对抗新出现的威胁。

安全浏览习惯：避免可疑链接：不要访问陌生或可疑电子邮件中的链接或下载附件，以防止恶意软件感染。验证网站：在输入任何私人信息之前，请检查 URL 中的 HTTPS，确保您正在导航到安全且合法的网站。

定期备份：数据备份：频繁将关键数据备份到独立存储设备或云服务，以最大限度地减少恶意软件攻击时潜在的数据丢失。

防火墙配置：网络保护：使用防火墙来规范传入和传出的网络流量，从而阻止未经授权的访问并增强网络安全性。

用户权限：最小权限原则：不要使用管理员帐户，而是使用常规用户帐户进行操作，以限制恶意软件对系统操作的潜在影响。独立帐户：为日常活动和管理任务维护不同的帐户，以减轻未经授权的权限提升的风险。

教育和意识：网络钓鱼意识：了解常见的网络钓鱼策略和社会工程策略，以减少成为此类攻击受害者的可能性。持续培训：不断参与培训和教育资源，以随时了解最新的安全威胁和最佳实践。

通过采用这些最佳实践，用户可以显著增强对恶意软件感染和其他安全威胁的防御能力，从而提高整体系统的安全性和完整性。