Търсене
Close this search box.

Операторите на рансъмуер RansomHub вече използват нов зловреден софтуер, за да деактивират софтуера за сигурност за откриване и реагиране на крайни точки (EDR) при атаки от типа Bring Your Own Vulnerable Driver (BYOVD).

Наречен EDRKillShifter от изследователите по сигурността на Sophos, които го откриват по време на разследване на рансъмуер през май 2024 г., зловредният софтуер разполага легитимен, уязвим драйвер на целевите устройства, за да увеличи привилегиите си, да деактивира решенията за сигурност и да поеме контрола над системата.

Тази техника е много популярна сред различни  заплахи, вариращи от финансово мотивирани банди за рансъмуер до подкрепяни от държавата хакерски групи.

„По време на инцидента през май участниците в колектива – оценяваме с умерена увереност, че този инструмент се използва от множество нападатели – се опитаха да използват EDRKillShifter, за да прекратят защитата на Sophos на целевия компютър, но инструментът не успя“, каза изследователят на заплахи в Sophos Андреас Клопш.

„След това те се опитаха да стартират изпълнимия файл на ransomware на контролираната от тях машина, но и това се провали, когато се задейства функцията CryptoGuard на агента за крайни точки.“

По време на разследването Sophos откри два различни образеца, и двата с доказателство за концептуални експлойти, налични в GitHub: единият експлоатира уязвим драйвер, известен като RentDrv2, а другият – драйвер, наречен ThreatFireMonitor, компонент на остарял пакет за системен мониторинг.

Sophos също така установи, че EDRKillShifter може да доставя различни полезни товари за драйвери в зависимост от нуждите на нападателите и че езиковото свойство на зловредния софтуер предполага, че е компилиран на компютър с руска локализация.

Изпълнението на зареждащия файл включва три стъпки: първо, нападателят стартира двоичния файл EDRKillShifter с низ от пароли, за да декриптира и изпълни вграден ресурс с име BIN в паметта. След това този код се разопакова и изпълнява крайния полезен товар, който пуска и използва уязвим, легитимен драйвер, за да увеличи привилегиите и да деактивира активните процеси и услуги на EDR.

„След като зловредният софтуер създаде нова услуга за драйвера, стартира услугата и зареди драйвера, той влиза в безкраен цикъл, който непрекъснато изброява работещите процеси, като прекратява процесите, ако името им се появи в твърдо кодиран списък с цели“, добавя Клопш.

„Заслужава да се отбележи също така, че и двата варианта използват легитимни (макар и уязвими) драйвери, като използват доказателство за концептуални експлойти, достъпни в Github. Подозираме, че бандитите са копирали части от тези доказателства за концепцията, модифицирали са ги и са пренесли кода на езика Go.“

Sophos препоръчва да се активира защитата от подправяне в продуктите за защита на крайни точки, да се поддържа разделение между потребителските и администраторските права, за да се попречи на нападателите да зареждат уязвими драйвери, и да се поддържат системите актуализирани, като се има предвид, че Microsoft продължава да десертифицира подписани драйвери, за които е известно, че са били използвани неправомерно при предишни атаки.

Миналата година Sophos забеляза друг зловреден софтуер, убиващ EDR, наречен AuKill, който злоупотребяваше с уязвим драйвер на Process Explorer при атаките с рансъмуер Medusa Locker и LockBit. AuKill е подобен на инструмент с отворен код, известен като Backstab, който също използва уязвим драйвер на Process Explorer и е бил използван от бандата LockBit в поне една атака, наблюдавана от Sophos X-Ops.

 

Източник: По материали от Интернет

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
Бъдете социални
Още по темата
08/10/2024

Защо многофакторното удосто...

Твърде крайно е да се каже,...
07/10/2024

MoneyGram: Няма доказателст...

Платформата за разплащания MoneyGram заявява, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!