Вымогатели RansomHub используют инструмент EDRKillShifter для отключения EDR-защиты - «Новости» » Интернет технологии
sitename
Asgard представила память DDR5 CUDIMM со стабильным разгоном до 9600 МТ/с - «Новости сети»
Asgard представила память DDR5 CUDIMM со стабильным разгоном до 9600 МТ/с - «Новости сети»
 Lexar представила карту памяти SD 8.0, которая оказалась слишком быстрой для современных устройств - «Новости сети»
Lexar представила карту памяти SD 8.0, которая оказалась слишком быстрой для современных устройств - «Новости сети»
 AMD упустила миллиарды долларов: производители ноутбуков жалуются на недопоставки чипов Strix Point - «Новости сети»
AMD упустила миллиарды долларов: производители ноутбуков жалуются на недопоставки чипов Strix Point - «Новости сети»
 SpaceX благополучно приземлила космических туристов миссии Polaris Dawn у побережья Флориды - «Новости сети»
SpaceX благополучно приземлила космических туристов миссии Polaris Dawn у побережья Флориды - «Новости сети»
 Энтузиаст разогнал неразгоняемый процессор AMD EPYC 4124P до 6,6 ГГц - «Новости сети»
Энтузиаст разогнал неразгоняемый процессор AMD EPYC 4124P до 6,6 ГГц - «Новости сети»
 Хакер украл и опубликовал 440 ГБ данных компании Fortinet - «Новости»
Хакер украл и опубликовал 440 ГБ данных компании Fortinet - «Новости»
 Фишеры массово атакуют российские отели - «Новости»
Фишеры массово атакуют российские отели - «Новости»
 GitLab патчит критическую уязвимость, связанную с пайплайном - «Новости»
GitLab патчит критическую уязвимость, связанную с пайплайном - «Новости»
 Арестован подросток, связанный со взломом муниципальной службы Transport for London - «Новости»
Арестован подросток, связанный со взломом муниципальной службы Transport for London - «Новости»
 Группа Lazarus атакует Python-разработчиков с помощью фейковых тестовых заданий - «Новости»
Группа Lazarus атакует Python-разработчиков с помощью фейковых тестовых заданий - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Вымогатели RansomHub используют инструмент EDRKillShifter для отключения EDR-защиты - «Новости»

✔Вымогатели RansomHub используют инструмент EDRKillShifter для отключения EDR-защиты - «Новости»

17 августа 2024 190 Новости / Отступы и поля / Вёрстка / Списки / Изображения 0

Операторы вымогателя RansomHub используют новую малварь для отключения EDR-защиты во время BYOVD-атак (Bring Your Own Vulnerable Driver, «Принеси свой уязвимый драйвер»).


Новый вредоносный инструмент получил название EDRKillShifter, и его обнаружили специалисты компании Sophos, во время расследования вымогательской атаки в мае 2024 года. Сообщается, что малварь используется для доставки легитимных уязвимых драйверов на целевые устройства для повышения привилегий, отключения защитных решений и захвата контроля над системой.


«Во время майского инцидента злоумышленники (мы с умеренной долей уверенности предполагаем, что этот инструмент используется несколькими атакующими) попытались использовать EDRKillShifter для отключения защиты Sophos на целевом компьютере, но инструмент не сработал, — рассказываю эксперты. — Затем они попытались запустить исполняемый файл вымогательского ПО на контролируемой ими машине, но это тоже не удалось, когда сработала функция CryptoGuard».


В ходе расследования Sophos выявила два разных образца малвари, оба с proof-of-concept эксплоитами доступными на GitHub: один использовал уязвимый драйвер RentDrv2, а другой — драйвер ThreatFireMonitor (компонент устаревшего пакета для системного мониторинга).


Также Sophos сообщает, что EDRKillShifter способен доставлять различные полезные нагрузки, в зависимости от потребностей злоумышленников, а языковые свойства малвари указывают на то, что она была скомпилирована на компьютере с русскоязычной локализацией.


Выполнение загрузчика состоит из трех этапов: сначала злоумышленник запускает бинарник EDRKillShifter с паролем для расшифровки и выполнения встроенного ресурса с именем BIN в памяти. Затем этот код распаковывается и выполняет финальную полезную нагрузку, которая загружает и использует уязвимый легитимный драйвер для повышения привилегий и отключения в системе жертвы активных процессов и служб EDR.





«После того как вредоносная программа создает новую службу для драйвера, запускает службу и загружает драйвер, она вступает в бесконечный цикл, который непрерывно перебирает запущенные процессы, завершая их, если их имя фигурирует в жестко заданном списке целей, — говорят исследователи. — Также стоит отметить, что оба варианта используют легитимные (хотя и уязвимые) драйверы и proofs-of-concept эксплоиты, доступные на Github. Мы подозреваем, что злоумышленники скопировали часть этих proofs-of-concept, изменили их и портировали код на Go».


Для защиты от подобных атак Sophos рекомендует включать защиту от несанкционированного доступа в продуктах для защиты эндпоинтов, разграничивать права пользователя и администратора, чтобы злоумышленники не могли загрузить уязвимые драйверы, и поддерживать системы в актуальном состоянии, поскольку Microsoft регулярно отзывает подписанные драйверы, которые используются в атаках.


Операторы вымогателя RansomHub используют новую малварь для отключения EDR-защиты во время BYOVD-атак (Bring Your Own Vulnerable Driver, «Принеси свой уязвимый драйвер»). Новый вредоносный инструмент получил название EDRKillShifter, и его обнаружили специалисты компании Sophos, во время расследования вымогательской атаки в мае 2024 года. Сообщается, что малварь используется для доставки легитимных уязвимых драйверов на целевые устройства для повышения привилегий, отключения защитных решений и захвата контроля над системой. «Во время майского инцидента злоумышленники (мы с умеренной долей уверенности предполагаем, что этот инструмент используется несколькими атакующими) попытались использовать EDRKillShifter для отключения защиты Sophos на целевом компьютере, но инструмент не сработал, — рассказываю эксперты. — Затем они попытались запустить исполняемый файл вымогательского ПО на контролируемой ими машине, но это тоже не удалось, когда сработала функция CryptoGuard». В ходе расследования Sophos выявила два разных образца малвари, оба с proof-of-concept эксплоитами доступными на GitHub: один использовал уязвимый драйвер RentDrv2, а другой — драйвер ThreatFireMonitor (компонент устаревшего пакета для системного мониторинга). Также Sophos сообщает, что EDRKillShifter способен доставлять различные полезные нагрузки, в зависимости от потребностей злоумышленников, а языковые свойства малвари указывают на то, что она была скомпилирована на компьютере с русскоязычной локализацией. Выполнение загрузчика состоит из трех этапов: сначала злоумышленник запускает бинарник EDRKillShifter с паролем для расшифровки и выполнения встроенного ресурса с именем BIN в памяти. Затем этот код распаковывается и выполняет финальную полезную нагрузку, которая загружает и использует уязвимый легитимный драйвер для повышения привилегий и отключения в системе жертвы активных процессов и служб EDR. «После того как вредоносная программа создает новую службу для драйвера, запускает службу и загружает драйвер, она вступает в бесконечный цикл, который непрерывно перебирает запущенные процессы, завершая их, если их имя фигурирует в жестко заданном списке целей, — говорят исследователи. — Также стоит отметить, что оба варианта используют легитимные (хотя и уязвимые) драйверы и proofs-of-concept эксплоиты, доступные на Github. Мы подозреваем, что злоумышленники скопировали часть этих proofs-of-concept, изменили их и портировали код на Go». Для защиты от подобных атак Sophos рекомендует включать защиту от несанкционированного доступа в продуктах для защиты эндпоинтов, разграничивать права пользователя и администратора, чтобы злоумышленники не могли загрузить уязвимые драйверы, и поддерживать системы в актуальном состоянии, поскольку Microsoft регулярно отзывает подписанные драйверы, которые используются в атаках.
CSS
запостил(а)
Leman
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))


Комментарии для сайта Cackle
Забыли пароль? Регистрация
Войти через: