据观察,一个与 RansomHub 勒索软件有关联的网络犯罪团伙使用了一种新工具,该工具能够终止受攻击主机上的端点检测和响应(EDR)软件,并加入了 AuKill(又名 AvNeutralizer)和 Terminator 等其他类似程序。
网络安全公司Sophos将这种工具命名为EDRKillShifter,该公司是在今年5月的一次勒索软件攻击事件中注意到该工具的。
安全研究员 Andreas Klopsch 称EDRKillShifter 工具是一个‘加载器’可执行文件,一种合法驱动程序的交付机制,容易被滥用(也被称为‘自带易受攻击驱动程序’或 BYOVD 工具)。根据威胁行为者的要求,它可以提供各种不同的驱动程序有效载荷。
RansomHub看起来似乎是 Knight 勒索软件的改良版,最早被发现于2024年2月。它利用已知的安全漏洞获取初始访问权限,并将Atera和Splashtop等合法远程桌面软件丢弃以实现持久访问。
上个月,微软披露, Scattered Spider 电子犯罪集团已将 RansomHub 和 Qilin 等勒索软件纳入其武器库。
该可执行文件通过命令行和密码字符串输入执行,解密名为 BIN 的嵌入式资源并在内存中执行。BIN 资源解包并运行基于 Go 的最终混淆有效载荷,然后利用不同的易受攻击的合法驱动程序来获得更高的权限并解除 EDR 软件。
二进制文件的语言属性是俄语,这表明恶意软件作者是在具有俄语本地化设置的计算机上编译可执行文件的。Klopsch 表示,所有解压缩的 EDR 杀手都在 .data 部分嵌入了一个易受攻击的驱动程序。
为减轻威胁,研究人员建议保持系统处于最新状态,并启用 EDR 软件中的篡改保护功能,对 Windows 安全角色采取严格措施。
Klopsch 认为:只有当攻击者升级了他们所控制的权限,或者当他们可以获得管理员权限时,这种攻击才有可能发生。因此,将用户和管理员权限加以区分有助于防止攻击事件的发生。
