EDRkillShifter 惡意軟體

Malware 年Mezo年

翻譯為：

與 RansomHub 勒索軟體相關的網路犯罪組織被發現部署了一種新工具，旨在停用受感染系統上的端點偵測和回應 (EDR) 軟體。網路安全專家將這種 EDR 停用實用程式命名為「EDRKillShifter」。該工具是在 2024 年 5 月勒索軟體嘗試失敗後被發現的。

EDRKillShifter 可作為「載入程式」可執行文件，可作為合法但易受攻擊的驅動程式的交付機制 - 這種類型的工具通常稱為「自帶易受攻擊的驅動程式」(BYOVD)。根據威脅行為者的目標，它可以部署各種驅動程式有效負載。

RansomHub 勒索軟體被認為是Knight Ransomwar e 的更名版本，於 2024 年 2 月出現。就在上個月，微軟披露臭名昭著的網路犯罪組織 Scattered Spider 已將 RansomHub 和 Qilin 等勒索軟體菌株添加到其工具包中。

該可執行檔透過輸入密碼字串透過命令列執行，解密名為 BIN 的嵌入式資源並直接在記憶體中執行。此 BIN 資源解壓縮並執行最終的基於 Go 的混淆有效負載，該有效負載利用各種易受攻擊的合法驅動程式來獲得提升的權限並停用 EDR 軟體。

此二進位檔案的語言屬性設定為俄語，表示該惡意軟體是在具有俄語本地化設定的系統上編譯的。所有解壓縮的 EDR 禁用工具都在 .data 部分中嵌入了易受攻擊的驅動程式。

建議保持系統更新，在 EDR 軟體中啟用篡改保護，並為 Windows 角色維護強大的安全實踐，以減輕這種威脅。只有當攻擊者可以升級權限或獲得管理員權限時，這種攻擊才可行。確保使用者和管理員權限之間的明確分離可以極大地幫助防止攻擊者輕鬆載入損壞的驅動程式。

為了加強設備安全並防止惡意軟體感染，鼓勵使用者採用以下綜合最佳實踐：

定期軟體更新：作業系統：確保定期使用最新的安全性修補程式和更新來升級您的作業系統，以解決和修正已知漏洞。應用程式：定期更新所有已安裝的軟體，包括 Web 瀏覽器、插件和其他應用程序，以維護安全性和功能。

強大而獨特的密碼：密碼複雜性：建立包含字母、數字和符號的複雜密碼以增強安全性。密碼管理：利用信譽良好的密碼管理器為每個帳戶產生、儲存和管理唯一的密碼，從而降低與密碼相關的外洩風險。

雙重認證 (2FA) ：額外的安全性：對所有支援它的帳戶和服務實施雙重認證，在傳統密碼之外增加一層安全性。

反惡意軟體軟體：即時保護：安裝和維護值得信賴的反惡意軟體程序，這些程序提供即時保護並進行定期掃描以檢測和消除威脅。程序更新：定期更新這些安全程序，以確保它們能夠有效識別和應對新出現的威脅。

安全瀏覽實務：避免可疑連結：避免存取不熟悉或可疑電子郵件中的連結或下載附件，以防止惡意軟體感染。驗證網站：在輸入任何私人資訊之前檢查 URL 中的 HTTPS，確保您導航到安全且合法的網站。

定期備份：資料備份：經常將關鍵資料備份到獨立儲存裝置或雲端服務，以最大程度地減少惡意軟體攻擊時潛在的資料遺失。

防火牆配置：網路保護：使用防火牆來控制傳入和傳出的網路流量，從而阻止未經授權的訪問，增強網路安全性。

使用者權限：最小權限原則：使用普通使用者帳戶取代管理員帳戶進行操作，以限制惡意軟體對系統操作的潛在影響。單獨的帳戶：為日常活動和管理任務維護不同的帳戶，以降低未經授權的權限升級的風險。

教育與意識：網路釣魚意識：隨時了解常見的網路釣魚策略和社會工程策略，以減少成為此類攻擊受害者的可能性。持續培訓：持續參與培訓和教育資源，以隨時了解最新的安全威脅和最佳實踐。

透過採用這些最佳實踐，使用者可以顯著增強對惡意軟體感染和其他安全威脅的防禦，從而增強整體系統的安全性和完整性。

EDRkillShifter 惡意軟體視頻

提示：把你的声音并观察在全屏模式下的视频。