Hvorfor du bør passe deg for EDRillShifter-malware-trussel
Nettsikkerhetslandskapet har nylig vært vitne til fremveksten av et nytt, sofistikert skadelig programvareverktøy kjent som EDRKillShifter. Koblet til den beryktede RansomHub løsepengevaregruppen, er dette verktøyet designet for å nøytralisere Endpoint Detection and Response (EDR)-programvare på kompromitterte systemer. Ved å eliminere disse kritiske sikkerhetsforsvarene baner EDRKillShifter vei for trusselaktører til å eskalere angrepene sine, noe som potensielt kan føre til ødeleggende utfall.
EDRKillShifter er en del av en bredere trend blant nettkriminelle som i økende grad bruker lignende verktøy, som AuKill (også kjent som AvNeutralizer) og Terminator, for å deaktivere EDR-løsninger. Disse verktøyene er spesielt farlige fordi de utnytter legitime drivere – programvarekomponenter som er integrert i funksjonen til maskinvare på et system – som er sårbare for misbruk. Denne metoden, kjent som «bring your own vulnerable driver» (BYOVD), lar angripere levere ondsinnede nyttelaster uten å vekke umiddelbar mistanke.
Table of Contents
Mekanikken til EDRillShifter
EDRKillShifter-verktøyet fungerer som en kjørbar "loader", en type program som leverer en legitim, men sårbar driver til målsystemet. Denne leveringsmetoden gjør det mulig for skadelig programvare å omgå sikkerhetsmekanismer ved å utnytte driverens legitimitet. Når det er utført, dekrypterer verktøyet en innebygd ressurs kalt BIN, som inneholder en endelig nyttelast skrevet på Go-programmeringsspråket. Denne nyttelasten er uklar, noe som gjør det vanskelig å oppdage og analysere. Ved aktivering utnytter den ulike sårbare drivere for å få økte privilegier og deaktivere EDR-programvare, og effektivt deaktivere systemets primære forsvar.
Ytterligere analyse har avslørt at binærfilen knyttet til EDRKillShifter ble kompilert på et system med russiske lokaliseringsinnstillinger, noe som antyder en potensiell opprinnelse til skadelig programvare. De innebygde driverne, som er avgjørende for skadelig programvares funksjon, er skjult i .data-delen av den kjørbare filen, og legger til et nytt lag av kompleksitet til dets oppdagelse.
Den bredere konteksten for nettkriminalitet
RansomHub, cyberkriminalitetsgruppen bak EDRKillShifter, antas å være en rebrand av Knight ransomware-gruppen, som dukket opp i februar 2024. Denne gruppen har en historie med å utnytte kjente sikkerhetssårbarheter for å få førstegangstilgang til systemer. Når de først er inne, distribuerer de ofte legitime eksterne skrivebordsverktøy som Atera og Splashtop for å opprettholde vedvarende tilgang, noe som gjør aktivitetene deres vanskeligere å oppdage.
I tillegg til kompleksiteten i trussellandskapet har Microsofts nylige funn knyttet det beryktede e-krimsyndikatet Scattered Spider til bruken av RansomHub og andre løsepengevarestammer som Qilin. Denne forbindelsen understreker taktikken til nettkriminelle som kontinuerlig raffinerer metodene sine for å omgå sikkerhetstiltak.
Redusere EDRKillShifter-trusselen
For å beskytte mot trusler som EDRKillShifter, er det avgjørende å ta i bruk en flerlags sikkerhetstilnærming:
- Regelmessige oppdateringer: Sørg for at alle systemer og programvare holdes oppdatert med de nyeste oppdateringene. Dette bidrar til å lukke kjente sårbarheter som skadelig programvare kan utnytte.
- Aktiver sabotasjebeskyttelse: Aktiver funksjoner for sabotasjebeskyttelse i EDR-programvare for å forhindre uautoriserte endringer eller deaktivering av sikkerhetsverktøy.
- Håndhev sterke Windows-sikkerhetspraksis: Implementer strengt skille mellom bruker- og administratorrettigheter. Dette begrenser muligheten for angripere til å eskalere privilegier og kjøre ondsinnede drivere.
- Oppretthold årvåken sikkerhetsovervåking: Overvåk kontinuerlig nettverksaktivitet for uvanlig oppførsel, spesielt alle forsøk på å laste eller kjøre drivere, som kan signalisere et pågående angrep.
The Rise of SbaProxy: A New Layer of Stealth
I tillegg til EDRKillShifter, har trusselaktører blitt observert som distribuerer en ny snikende skadelig programvare kalt SbaProxy. Denne skadevaren er spesielt lumsk ettersom den modifiserer legitime antivirus-binærfiler fra anerkjente selskaper som BitDefender, Malwarebytes og Sophos. Disse binærfilene signeres deretter på nytt med falske sertifikater, slik at skadelig programvare kan etablere proxy-forbindelser gjennom en kommando-og-kontroll-server (C2).
SbaProxys primære funksjon er å lage proxy-tjenester som ruter trafikk gjennom C2-serveren og den infiserte maskinen, og tilrettelegger for ondsinnede aktiviteter. Skadevaren støtter kun TCP-tilkoblinger, men dens sofistikerte design og legitime utseende gjør den utfordrende å oppdage.
Fremveksten av EDRKillShifter og SbaProxy fremhever den økende sofistikeringen av cybertrusler som organisasjoner står overfor i dag. Disse verktøyene er en del av et voksende arsenal som brukes av nettkriminelle for å omgå tradisjonelle sikkerhetstiltak og utføre deres ondsinnede aktiviteter uoppdaget. Ved å holde seg informert om disse truslene og implementere robuste sikkerhetspraksiser, kan organisasjoner bedre beskytte systemene sine mot disse skiftende farene.
