Hvorfor du skal passe på med EDRillShifter-malwaretruslen

Cybersikkerhedslandskabet har for nylig været vidne til fremkomsten af et nyt, sofistikeret malwareværktøj kendt som EDRKillShifter. Linket til den berygtede RansomHub ransomware-gruppe er dette værktøj designet til at neutralisere Endpoint Detection and Response (EDR)-software på kompromitterede systemer. Ved at eliminere disse kritiske sikkerhedsforsvar baner EDRKillShifter vejen for trusselsaktører til at eskalere deres angreb, hvilket potentielt kan føre til ødelæggende resultater.

EDRKillShifter er en del af en bredere tendens blandt cyberkriminelle, der i stigende grad anvender lignende værktøjer, såsom AuKill (også kendt som AvNeutralizer) og Terminator, for at deaktivere EDR-løsninger. Disse værktøjer er særligt farlige, fordi de udnytter legitime drivere - softwarekomponenter, der er integreret i hardwarens funktion på et system - som er sårbare over for misbrug. Denne metode, kendt som "bring din egen sårbare driver" (BYOVD), giver angribere mulighed for at levere ondsindede nyttelaster uden at vække umiddelbar mistanke.

Mekanikken i EDRillShifter

EDRKillShifter-værktøjet fungerer som en "loader" eksekverbar, en type program, der leverer en legitim, men sårbar driver til målsystemet. Denne leveringsmetode gør det muligt for malware at omgå sikkerhedsmekanismer ved at udnytte driverens legitimitet. Når det er udført, dekrypterer værktøjet en indlejret ressource kaldet BIN, som indeholder en endelig nyttelast skrevet i Go-programmeringssproget. Denne nyttelast er sløret, hvilket gør det vanskeligt at opdage og analysere. Ved aktivering udnytter den forskellige sårbare drivere til at opnå forhøjede privilegier og deaktivere EDR-software, hvilket effektivt afvæbner systemets primære forsvar.

Yderligere analyse har afsløret, at binærfilen forbundet med EDRKillShifter blev kompileret på et system med russiske lokaliseringsindstillinger, hvilket tyder på en potentiel oprindelse for malwaren. De indlejrede drivere, der er afgørende for malwarens funktion, er skjult i .data-sektionen af den eksekverbare, hvilket tilføjer endnu et lag af kompleksitet til dets opdagelse.

Den bredere cyberkriminalitetskontekst

RansomHub, cyberkriminalitetsgruppen bag EDRKillShifter, menes at være et rebrand af Knight ransomware-gruppen, som dukkede op i februar 2024. Denne gruppe har en historie med at udnytte kendte sikkerhedssårbarheder for at få indledende adgang til systemer. Når de først er inde, implementerer de ofte legitime fjernskrivebordsværktøjer som Atera og Splashtop for at opretholde vedvarende adgang, hvilket gør deres aktiviteter sværere at opdage.

For at tilføje kompleksiteten af trusselslandskabet har Microsofts seneste resultater forbundet det berygtede Scattered Spider e-kriminalitetssyndikat med brugen af RansomHub og andre ransomware-stammer som Qilin. Denne forbindelse understreger den udviklende taktik hos cyberkriminelle, som løbende raffinerer deres metoder til at omgå sikkerhedsforanstaltninger.

Afhjælpning af EDRillShifter-truslen

For at beskytte mod trusler som EDRKillShifter er det afgørende at anvende en flerlags sikkerhedstilgang:

1. Regelmæssige opdateringer: Sørg for, at alle systemer og software holdes opdateret med de nyeste patches. Dette hjælper med at lukke kendte sårbarheder, som malware kan udnytte.
2. Aktiver manipulationsbeskyttelse: Aktiver manipulationsbeskyttelsesfunktioner i EDR-software for at forhindre uautoriserede ændringer eller deaktivering af sikkerhedsværktøjer.
3. Håndhæv stærk Windows-sikkerhedspraksis: Implementer streng adskillelse mellem bruger- og administratorrettigheder. Dette begrænser angribernes evne til at eskalere privilegier og udføre ondsindede drivere.
4. Oprethold årvågen sikkerhedsovervågning: Overvåg konstant netværksaktivitet for usædvanlig adfærd, især ethvert forsøg på at indlæse eller udføre drivere, som kunne signalere et igangværende angreb.

The Rise of SbaProxy: A New Layer of Stealth

Ud over EDRKillShifter er trusselsaktører blevet observeret i at implementere en ny snigende malware kaldet SbaProxy. Denne malware er især lumsk, da den ændrer legitime antivirus-binære filer fra velrenommerede virksomheder som BitDefender, Malwarebytes og Sophos. Disse binære filer bliver derefter gensigneret med falske certifikater, hvilket gør det muligt for malwaren at etablere proxyforbindelser gennem en kommando-og-kontrol-server (C2).

SbaProxys primære funktion er at skabe proxy-tjenester, der dirigerer trafik gennem C2-serveren og den inficerede maskine, hvilket letter ondsindede aktiviteter. Malwaren understøtter kun TCP-forbindelser, men dens sofistikerede design og legitime udseende gør den udfordrende at opdage.

Fremkomsten af EDRKillShifter og SbaProxy fremhæver den stigende sofistikering af cybertrusler, som organisationer står over for i dag. Disse værktøjer er en del af et voksende arsenal, der bruges af cyberkriminelle til at omgå traditionelle sikkerhedsforanstaltninger og udføre deres ondsindede aktiviteter uopdaget. Ved at holde sig informeret om disse trusler og implementere robust sikkerhedspraksis kan organisationer bedre beskytte deres systemer mod disse skiftende farer.