Kodėl turėtumėte saugotis EDRKillShifter kenkėjiškų programų grėsmės

Kibernetinio saugumo srityje neseniai atsirado naujas, sudėtingas kenkėjiškų programų įrankis, žinomas kaip EDRKillShifter. Šis įrankis, susietas su liūdnai pagarsėjusia RansomHub išpirkos reikalaujančių programų grupe, skirtas neutralizuoti galinių taškų aptikimo ir atsako (EDR) programinę įrangą pažeistose sistemose. Panaikindama šias svarbias apsaugos priemones, EDRKillShifter atveria kelią grėsmės veikėjams eskaluoti savo atakas, o tai gali sukelti pražūtingų padarinių.

EDRKillShifter yra dalis platesnės tendencijos tarp kibernetinių nusikaltėlių, kurie vis dažniau diegia panašias priemones, tokias kaip AuKill (taip pat žinomas kaip AvNeutralizer) ir Terminator, kad išjungtų EDR sprendimus. Šios priemonės yra ypač pavojingos, nes išnaudoja teisėtas tvarkykles – programinės įrangos komponentus, neatsiejamus nuo aparatinės įrangos veikimo sistemoje, kurios gali būti pažeidžiamos. Šis metodas, žinomas kaip „atsinešk savo pažeidžiamą tvarkyklę“ (BYOVD), leidžia užpuolikams pristatyti kenksmingus krovinius, nesukeliant tiesioginio įtarimo.

EDRKillShifter mechanika

„EDRKillShifter“ įrankis veikia kaip „kroviklio“ vykdomasis failas – programos tipas, kuris į tikslinę sistemą pateikia teisėtą, tačiau pažeidžiamą tvarkyklę. Šis pristatymo būdas leidžia kenkėjiškajai programai apeiti saugos mechanizmus pasinaudojant tvarkyklės teisėtumu. Įvykdžius įrankis iššifruoja įterptąjį šaltinį, vadinamą BIN, kuriame yra galutinė naudingoji apkrova, parašyta Go programavimo kalba. Šis naudingasis krovinys yra užtemdytas, todėl jį sunku aptikti ir analizuoti. Suaktyvinus, jis išnaudoja įvairias pažeidžiamas tvarkykles, kad įgytų padidintų privilegijų ir išjungtų EDR programinę įrangą, efektyviai išjungdama pagrindinę sistemos apsaugą.

Tolesnė analizė atskleidė, kad su EDRKillShifter susietas dvejetainis failas buvo sudarytas sistemoje su Rusijos lokalizacijos nustatymais, o tai rodo galimą kenkėjiškos programos kilmę. Įterptosios tvarkyklės, labai svarbios kenkėjiškos programos veikimui, yra paslėptos vykdomojo failo .data skiltyje, todėl jos aptikimas tampa dar sudėtingesnis.

Platesnis elektroninių nusikaltimų kontekstas

Manoma, kad „RansomHub“, kibernetinių nusikaltimų grupė, kurianti EDRKillShifter, yra „Knight“ išpirkos programų grupės, kuri pasirodė 2024 m. vasario mėn., prekės ženklas. Ši grupė išnaudojo žinomas saugumo spragas, kad gautų pradinę prieigą prie sistemų. Patekę į vidų, jie dažnai diegia teisėtus nuotolinio darbalaukio įrankius, pvz., „Atera“ ir „Splashtop“, kad išlaikytų nuolatinę prieigą, todėl jų veiklą sunkiau aptikti.

Dėl grėsmių kraštovaizdžio sudėtingumo pastarieji „Microsoft“ atradimai susiejo liūdnai pagarsėjusį „Scattered Spider“ elektroninių nusikaltimų sindikatą su „RansomHub“ ir kitų išpirkos reikalaujančių programų, tokių kaip „Qilin“, naudojimu. Šis ryšys pabrėžia besikeičiančią kibernetinių nusikaltėlių taktiką, kuri nuolat tobulina savo metodus, kaip apeiti saugumo priemones.

EDRKillShifter grėsmės mažinimas

Norint apsisaugoti nuo tokių grėsmių kaip EDRKillShifter, labai svarbu taikyti daugiasluoksnį saugos metodą:

1. Reguliarūs atnaujinimai: Užtikrinkite, kad visos sistemos ir programinė įranga būtų atnaujinta naudojant naujausius pataisymus. Tai padeda pašalinti žinomas spragas, kurias gali išnaudoti kenkėjiškos programos.
2. Įjungti apsaugą nuo klastojimo: suaktyvinkite apsaugos nuo klastojimo funkcijas EDR programinėje įrangoje, kad išvengtumėte neteisėtų pakeitimų arba saugos įrankių išjungimo.
3. Įgyvendinti stiprią „Windows“ saugos praktiką: griežtai atskirkite vartotojo ir administratoriaus teises. Tai apriboja užpuolikų galimybes išplėsti privilegijas ir vykdyti kenkėjiškas tvarkykles.
4. Vykdykite budrų saugos stebėjimą: nuolat stebėkite tinklo veiklą, ar nėra neįprastos elgsenos, ypač bandymų įkelti arba vykdyti tvarkykles, kurios gali signalizuoti apie vykstančią ataką.

SbaProxy kilimas: naujas slaptumo sluoksnis

Be EDRKillShifter, buvo pastebėta, kad grėsmės veikėjai diegia naują slaptą kenkėjišką programą, vadinamą SbaProxy. Ši kenkėjiška programa yra ypač klastinga, nes modifikuoja teisėtus antivirusinius dvejetainius failus iš patikimų kompanijų, tokių kaip BitDefender, Malwarebytes ir Sophos. Tada šie dvejetainiai failai iš naujo pasirašomi su padirbtais sertifikatais, todėl kenkėjiška programa gali užmegzti tarpinio serverio ryšius per komandų ir valdymo (C2) serverį.

Pagrindinė „SbaProxy“ funkcija yra sukurti tarpinio serverio paslaugas, nukreipiančias srautą per C2 serverį ir užkrėstą įrenginį, palengvinant kenkėjišką veiklą. Kenkėjiška programa palaiko tik TCP ryšius, tačiau dėl sudėtingo dizaino ir teisėtos išvaizdos ją sunku aptikti.

EDRKillShifter ir SbaProxy atsiradimas išryškina vis sudėtingėjančias kibernetines grėsmes, su kuriomis šiandien susiduria organizacijos. Šios priemonės yra dalis didėjančio arsenalo, kurį naudoja kibernetiniai nusikaltėliai, norėdami apeiti tradicines saugumo priemones ir nepastebimai vykdyti savo kenkėjišką veiklą. Būdamos informuotos apie šias grėsmes ir įgyvendindamos patikimą saugumo praktiką, organizacijos gali geriau apsaugoti savo sistemas nuo šių besikeičiančių pavojų.