Вымогатели RansomHub используют инструмент EDRKillShifter для отключения EDR-защиты - «Новости» » Интернет технологии
sitename
Первую партию трёхстворчатых смартфонов Samsung Galaxy Z TriFold смели за несколько минут - «Новости сети»
Первую партию трёхстворчатых смартфонов Samsung Galaxy Z TriFold смели за несколько минут - «Новости сети»
 Распаковку смартфона OnePlus 15R опубликовали в преддверии анонса - «Новости сети»
Распаковку смартфона OnePlus 15R опубликовали в преддверии анонса - «Новости сети»
 «Я капитан Шепард, и это моя самая ожидаемая игра»: грандиозный ролевой боевик Exodus в духе Mass Effect не выйдет в 2026 году - «Новости сети»
«Я капитан Шепард, и это моя самая ожидаемая игра»: грандиозный ролевой боевик Exodus в духе Mass Effect не выйдет в 2026 году - «Новости сети»
 «Дорогая, у нас есть Cyberpunk 2077 дома»: дебютный трейлер ролевого экшена No Law смутил игроков своей вторичностью - «Новости сети»
«Дорогая, у нас есть Cyberpunk 2077 дома»: дебютный трейлер ролевого экшена No Law смутил игроков своей вторичностью - «Новости сети»
 Учёные обнаружили, что ИИ-модели с трудом понимают разницу между верой и знанием - «Новости сети»
Учёные обнаружили, что ИИ-модели с трудом понимают разницу между верой и знанием - «Новости сети»
 Новый инструмент в Яндекс Вебмастере: «Настройка GET‑параметров» — «Блог для вебмастеров»
Новый инструмент в Яндекс Вебмастере: «Настройка GET‑параметров» — «Блог для вебмастеров»
 В США изобрели углеродно-отрицательный «бетон» — он поглощает CO₂, пока затвердевает - «Новости сети»
В США изобрели углеродно-отрицательный «бетон» — он поглощает CO₂, пока затвердевает - «Новости сети»
 Глава Valve Гейб Ньюэлл выпустит свой первый нейроимплант до конца года — геймеров пока чипировать не будут - «Новости сети»
Глава Valve Гейб Ньюэлл выпустит свой первый нейроимплант до конца года — геймеров пока чипировать не будут - «Новости сети»
 Microsoft выпустила последнее обновление для Windows 11 в этом году - «Новости сети»
Microsoft выпустила последнее обновление для Windows 11 в этом году - «Новости сети»
 SpaceX начала продавать антенны для спутникового интернета Starlink по $89 через торговые автоматы - «Новости сети»
SpaceX начала продавать антенны для спутникового интернета Starlink по $89 через торговые автоматы - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Вымогатели RansomHub используют инструмент EDRKillShifter для отключения EDR-защиты - «Новости»

✔Вымогатели RansomHub используют инструмент EDRKillShifter для отключения EDR-защиты - «Новости»

17 августа 2024 429 Новости / Отступы и поля / Вёрстка / Списки / Изображения 0

Операторы вымогателя RansomHub используют новую малварь для отключения EDR-защиты во время BYOVD-атак (Bring Your Own Vulnerable Driver, «Принеси свой уязвимый драйвер»).


Новый вредоносный инструмент получил название EDRKillShifter, и его обнаружили специалисты компании Sophos, во время расследования вымогательской атаки в мае 2024 года. Сообщается, что малварь используется для доставки легитимных уязвимых драйверов на целевые устройства для повышения привилегий, отключения защитных решений и захвата контроля над системой.


«Во время майского инцидента злоумышленники (мы с умеренной долей уверенности предполагаем, что этот инструмент используется несколькими атакующими) попытались использовать EDRKillShifter для отключения защиты Sophos на целевом компьютере, но инструмент не сработал, — рассказываю эксперты. — Затем они попытались запустить исполняемый файл вымогательского ПО на контролируемой ими машине, но это тоже не удалось, когда сработала функция CryptoGuard».


В ходе расследования Sophos выявила два разных образца малвари, оба с proof-of-concept эксплоитами доступными на GitHub: один использовал уязвимый драйвер RentDrv2, а другой — драйвер ThreatFireMonitor (компонент устаревшего пакета для системного мониторинга).


Также Sophos сообщает, что EDRKillShifter способен доставлять различные полезные нагрузки, в зависимости от потребностей злоумышленников, а языковые свойства малвари указывают на то, что она была скомпилирована на компьютере с русскоязычной локализацией.


Выполнение загрузчика состоит из трех этапов: сначала злоумышленник запускает бинарник EDRKillShifter с паролем для расшифровки и выполнения встроенного ресурса с именем BIN в памяти. Затем этот код распаковывается и выполняет финальную полезную нагрузку, которая загружает и использует уязвимый легитимный драйвер для повышения привилегий и отключения в системе жертвы активных процессов и служб EDR.





«После того как вредоносная программа создает новую службу для драйвера, запускает службу и загружает драйвер, она вступает в бесконечный цикл, который непрерывно перебирает запущенные процессы, завершая их, если их имя фигурирует в жестко заданном списке целей, — говорят исследователи. — Также стоит отметить, что оба варианта используют легитимные (хотя и уязвимые) драйверы и proofs-of-concept эксплоиты, доступные на Github. Мы подозреваем, что злоумышленники скопировали часть этих proofs-of-concept, изменили их и портировали код на Go».


Для защиты от подобных атак Sophos рекомендует включать защиту от несанкционированного доступа в продуктах для защиты эндпоинтов, разграничивать права пользователя и администратора, чтобы злоумышленники не могли загрузить уязвимые драйверы, и поддерживать системы в актуальном состоянии, поскольку Microsoft регулярно отзывает подписанные драйверы, которые используются в атаках.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Операторы вымогателя RansomHub используют новую малварь для отключения EDR-защиты во время BYOVD-атак (Bring Your Own Vulnerable Driver, «Принеси свой уязвимый драйвер»). Новый вредоносный инструмент получил название EDRKillShifter, и его обнаружили специалисты компании Sophos, во время расследования вымогательской атаки в мае 2024 года. Сообщается, что малварь используется для доставки легитимных уязвимых драйверов на целевые устройства для повышения привилегий, отключения защитных решений и захвата контроля над системой. «Во время майского инцидента злоумышленники (мы с умеренной долей уверенности предполагаем, что этот инструмент используется несколькими атакующими) попытались использовать EDRKillShifter для отключения защиты Sophos на целевом компьютере, но инструмент не сработал, — рассказываю эксперты. — Затем они попытались запустить исполняемый файл вымогательского ПО на контролируемой ими машине, но это тоже не удалось, когда сработала функция CryptoGuard». В ходе расследования Sophos выявила два разных образца малвари, оба с proof-of-concept эксплоитами доступными на GitHub: один использовал уязвимый драйвер RentDrv2, а другой — драйвер ThreatFireMonitor (компонент устаревшего пакета для системного мониторинга). Также Sophos сообщает, что EDRKillShifter способен доставлять различные полезные нагрузки, в зависимости от потребностей злоумышленников, а языковые свойства малвари указывают на то, что она была скомпилирована на компьютере с русскоязычной локализацией. Выполнение загрузчика состоит из трех этапов: сначала злоумышленник запускает бинарник EDRKillShifter с паролем для расшифровки и выполнения встроенного ресурса с именем BIN в памяти. Затем этот код распаковывается и выполняет финальную полезную нагрузку, которая загружает и использует уязвимый легитимный драйвер для повышения привилегий и отключения в системе жертвы активных процессов и служб EDR. «После того как вредоносная программа создает новую службу для драйвера, запускает службу и загружает драйвер, она вступает в бесконечный цикл, который непрерывно перебирает запущенные процессы, завершая их, если их имя фигурирует в жестко заданном списке целей, — говорят исследователи. — Также стоит отметить, что оба варианта используют легитимные (хотя и уязвимые) драйверы и proofs-of-concept эксплоиты, доступные на Github. Мы подозреваем, что злоумышленники скопировали часть этих proofs-of-concept, изменили их и портировали код на Go». Для защиты от подобных атак Sophos рекомендует включать защиту от несанкционированного доступа в продуктах для защиты эндпоинтов, разграничивать права пользователя и администратора, чтобы злоумышленники не могли загрузить уязвимые драйверы, и поддерживать системы в актуальном состоянии, поскольку Microsoft регулярно отзывает подписанные драйверы, которые используются в атаках.
CSS
запостил(а)
Leman
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: