Warum Sie sich vor der Malware-Bedrohung EDRKillShifter in Acht nehmen sollten

ransomware

In der Cybersicherheitslandschaft ist kürzlich ein neues, hochentwickeltes Malware-Tool namens EDRKillShifter aufgetaucht. Dieses Tool steht in Verbindung mit der berüchtigten RansomHub-Ransomware-Gruppe und wurde entwickelt, um Endpoint Detection and Response (EDR)-Software auf infizierten Systemen zu neutralisieren. Indem EDRKillShifter diese kritischen Sicherheitsvorkehrungen ausschaltet, ebnet es Bedrohungsakteuren den Weg, ihre Angriffe zu eskalieren, was möglicherweise verheerende Folgen haben kann.

EDRKillShifter ist Teil eines breiteren Trends unter Cyberkriminellen, die zunehmend ähnliche Dienstprogramme wie AuKill (auch bekannt als AvNeutralizer) und Terminator einsetzen, um EDR-Lösungen zu deaktivieren. Diese Tools sind besonders gefährlich, da sie legitime Treiber ausnutzen – Softwarekomponenten, die für die Funktion der Hardware auf einem System unerlässlich sind –, die anfällig für Missbrauch sind. Diese Methode, bekannt als „Bring Your Own Vulnerable Driver“ (BYOVD), ermöglicht es Angreifern, bösartige Nutzdaten zu übermitteln, ohne sofort Verdacht zu erregen.

Die Mechanik von EDRKillShifter

Das Tool EDRKillShifter fungiert als ausführbare „Loader“-Datei, eine Art Programm, das einen legitimen, aber anfälligen Treiber auf das Zielsystem überträgt. Diese Übermittlungsmethode ermöglicht es der Malware, Sicherheitsmechanismen zu umgehen, indem sie die Legitimität des Treibers ausnutzt. Nach der Ausführung entschlüsselt das Tool eine eingebettete Ressource namens BIN, die eine endgültige Nutzlast enthält, die in der Programmiersprache Go geschrieben ist. Diese Nutzlast ist verschleiert, was ihre Erkennung und Analyse erschwert. Nach der Aktivierung nutzt es verschiedene anfällige Treiber aus, um erweiterte Berechtigungen zu erlangen und EDR-Software zu deaktivieren, wodurch die primären Abwehrmechanismen des Systems effektiv außer Kraft gesetzt werden.

Weitere Analysen haben ergeben, dass die mit EDRKillShifter verbundene Binärdatei auf einem System mit russischen Lokalisierungseinstellungen kompiliert wurde, was auf einen möglichen Ursprung der Malware hindeutet. Die eingebetteten Treiber, die für den Betrieb der Malware entscheidend sind, sind im .data-Abschnitt der ausführbaren Datei versteckt, was ihre Erkennung noch komplexer macht.

Der breitere Kontext der Cyberkriminalität

RansomHub, die Cybercrime-Gruppe hinter EDRKillShifter, ist vermutlich eine Umbenennung der Knight-Ransomware-Gruppe, die im Februar 2024 auftauchte. Diese Gruppe nutzt in der Vergangenheit bekannte Sicherheitslücken aus, um sich ersten Zugriff auf Systeme zu verschaffen. Sobald sie sich Zugang verschafft haben, setzen sie oft legitime Remote-Desktop-Tools wie Atera und Splashtop ein, um dauerhaften Zugriff aufrechtzuerhalten, wodurch ihre Aktivitäten schwerer zu erkennen sind.

Die Bedrohungslandschaft wird noch komplexer, da Microsofts jüngste Erkenntnisse das berüchtigte Scattered Spider-E-Crime-Syndikat mit der Nutzung von RansomHub und anderen Ransomware-Stämmen wie Qilin in Verbindung bringen. Diese Verbindung unterstreicht die sich entwickelnden Taktiken von Cyberkriminellen, die ihre Methoden zur Umgehung von Sicherheitsmaßnahmen ständig verfeinern.

Eindämmung der EDRKillShifter-Bedrohung

Zum Schutz vor Bedrohungen wie EDRKillShifter ist ein mehrschichtiger Sicherheitsansatz unerlässlich:

  1. Regelmäßige Updates: Stellen Sie sicher, dass alle Systeme und Software mit den neuesten Patches auf dem neuesten Stand gehalten werden. Dadurch werden bekannte Schwachstellen geschlossen, die von Malware ausgenutzt werden können.
  2. Manipulationsschutz aktivieren: Aktivieren Sie Manipulationsschutzfunktionen innerhalb der EDR-Software, um unbefugte Änderungen oder das Deaktivieren von Sicherheitstools zu verhindern.
  3. Setzen Sie strenge Windows-Sicherheitspraktiken durch: Implementieren Sie eine strikte Trennung zwischen Benutzer- und Administratorrechten. Dies schränkt die Möglichkeiten von Angreifern ein, Rechte zu erhöhen und bösartige Treiber auszuführen.
  4. Führen Sie eine aufmerksame Sicherheitsüberwachung durch: Überwachen Sie die Netzwerkaktivität kontinuierlich auf ungewöhnliches Verhalten, insbesondere auf Versuche, Treiber zu laden oder auszuführen, die auf einen laufenden Angriff hinweisen könnten.

Der Aufstieg von SbaProxy: Eine neue Tarnebene

Zusätzlich zu EDRKillShifter wurde beobachtet, dass Bedrohungsakteure eine neue getarnte Malware namens SbaProxy einsetzen. Diese Malware ist besonders heimtückisch, da sie legitime Antiviren-Binärdateien von renommierten Unternehmen wie BitDefender, Malwarebytes und Sophos modifiziert. Diese Binärdateien werden dann mit gefälschten Zertifikaten neu signiert, sodass die Malware Proxy-Verbindungen über einen Command-and-Control-Server (C2) herstellen kann.

Die Hauptfunktion von SbaProxy besteht darin, Proxy-Dienste zu erstellen, die den Datenverkehr über den C2-Server und den infizierten Computer leiten und so bösartige Aktivitäten ermöglichen. Die Malware unterstützt nur TCP-Verbindungen, ist jedoch aufgrund ihres ausgeklügelten Designs und ihres legitimen Erscheinungsbilds schwer zu erkennen.

Das Aufkommen von EDRKillShifter und SbaProxy unterstreicht die zunehmende Raffinesse der Cyberbedrohungen, mit denen Organisationen heute konfrontiert sind. Diese Tools sind Teil eines wachsenden Arsenals, mit dem Cyberkriminelle herkömmliche Sicherheitsmaßnahmen umgehen und ihre bösartigen Aktivitäten unentdeckt durchführen. Indem sie über diese Bedrohungen auf dem Laufenden bleiben und robuste Sicherheitspraktiken implementieren, können Organisationen ihre Systeme besser vor diesen sich entwickelnden Gefahren schützen.

Bis Zane
August 16, 2024
Malware
Deutsch
August 16, 2024
Malware

Beliebte Beiträge

Was ist die Datei OperaGXSetup.exe und ist sie bösartig?

vor 11 months

Eporner.com und warum die übermäßigen Pop-ups riskant sind

vor 12 days

Beachten Sie: Jemand hat Sie als Betrugsversuch für die...

vor 10 months

HackTool:Win32/Crack: eine bösartige Bedrohung, die Ihr System...

vor 7 months

Eine potenziell ernste Bedrohung: Trojan:Win32/Suschil!rfn

vor 19 days

Was ist die Bedrohung durch den Packunwan-Trojaner und wie...

vor 11 months
Deutsch
Lade...

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.