Dlaczego należy uważać na zagrożenie malware EDRKillShifter

Krajobraz cyberbezpieczeństwa ostatnio stał się świadkiem pojawienia się nowego, wyrafinowanego narzędzia do złośliwego oprogramowania znanego jako EDRKillShifter. Narzędzie to, powiązane z niesławną grupą ransomware RansomHub, zostało zaprojektowane w celu neutralizacji oprogramowania Endpoint Detection and Response (EDR) w zagrożonych systemach. Eliminując te krytyczne zabezpieczenia, EDRKillShifter otwiera drogę sprawcom zagrożeń do eskalacji ataków, co może prowadzić do katastrofalnych skutków.

EDRKillShifter wpisuje się w szerszy trend wśród cyberprzestępców, którzy coraz częściej wdrażają podobne narzędzia, takie jak AuKill (znane również jako AvNeutralizer) i Terminator, aby wyłączyć rozwiązania EDR. Narzędzia te są szczególnie niebezpieczne, ponieważ wykorzystują legalne sterowniki — komponenty oprogramowania integralne z funkcjonowaniem sprzętu w systemie — które są podatne na nadużycia. Ta metoda, znana jako „przynieś własny podatny sterownik” (BYOVD), umożliwia atakującym dostarczanie złośliwych ładunków bez wzbudzania natychmiastowego podejrzenia.

Mechanika EDRKillShifter

Narzędzie EDRKillShifter działa jako plik wykonywalny „loader”, rodzaj programu, który dostarcza legalny, ale podatny na ataki sterownik do systemu docelowego. Ta metoda dostarczania umożliwia złośliwemu ominięcie mechanizmów bezpieczeństwa poprzez wykorzystanie legalności sterownika. Po uruchomieniu narzędzie odszyfrowuje osadzony zasób o nazwie BIN, który zawiera ostateczny ładunek napisany w języku programowania Go. Ten ładunek jest zaciemniony, co utrudnia jego wykrycie i analizę. Po aktywacji wykorzystuje różne podatne sterowniki, aby uzyskać podwyższone uprawnienia i wyłączyć oprogramowanie EDR, skutecznie rozbrajając główne mechanizmy obronne systemu.

Dalsza analiza wykazała, że plik binarny powiązany z EDRKillShifter został skompilowany w systemie z rosyjskimi ustawieniami lokalizacji, co sugeruje potencjalne pochodzenie złośliwego oprogramowania. Wbudowane sterowniki, kluczowe dla działania złośliwego oprogramowania, są ukryte w sekcji .data pliku wykonywalnego, co dodaje kolejną warstwę złożoności do jego wykrywania.

Szerszy kontekst cyberprzestępczości

RansomHub, grupa cyberprzestępcza stojąca za EDRKillShifter, jest prawdopodobnie rebrandingiem grupy Knight ransomware, która pojawiła się w lutym 2024 r. Grupa ta ma historię wykorzystywania znanych luk w zabezpieczeniach w celu uzyskania wstępnego dostępu do systemów. Po dostaniu się do środka często wdrażają legalne narzędzia do zdalnego pulpitu, takie jak Atera i Splashtop, aby utrzymać stały dostęp, co utrudnia wykrycie ich działań.

Dodając do złożoności krajobrazu zagrożeń, ostatnie odkrycia Microsoftu powiązały niesławny syndykat e-przestępczości Scattered Spider z wykorzystaniem RansomHub i innych odmian ransomware, takich jak Qilin. To powiązanie podkreśla ewolucję taktyk cyberprzestępców, którzy nieustannie udoskonalają swoje metody omijania środków bezpieczeństwa.

Łagodzenie zagrożenia EDRKillShifter

Aby zapewnić sobie ochronę przed zagrożeniami takimi jak EDRKillShifter, kluczowe jest przyjęcie wielowarstwowego podejścia do kwestii bezpieczeństwa:

1. Regularne aktualizacje: Upewnij się, że wszystkie systemy i oprogramowanie są aktualizowane najnowszymi poprawkami. Pomaga to zamknąć znane luki, które może wykorzystać złośliwe oprogramowanie.
2. Włącz ochronę przed manipulacją: Aktywuj funkcje ochrony przed manipulacją w oprogramowaniu EDR, aby zapobiec nieautoryzowanym modyfikacjom lub wyłączeniu narzędzi zabezpieczających.
3. Wymuś silne praktyki bezpieczeństwa systemu Windows: Wprowadź ścisłe rozdzielenie uprawnień użytkownika i administratora. Ogranicza to możliwość atakujących do eskalacji uprawnień i wykonywania złośliwych sterowników.
4. Prowadź czujny monitoring bezpieczeństwa: stale monitoruj aktywność sieciową pod kątem nietypowych zachowań, w szczególności prób ładowania lub uruchamiania sterowników, które mogą być sygnałem trwającego ataku.

Rozwój SbaProxy: Nowa warstwa ukrycia

Oprócz EDRKillShifter, zaobserwowano, że aktorzy zagrożeń wdrażają nowe ukryte złośliwe oprogramowanie o nazwie SbaProxy. To złośliwe oprogramowanie jest szczególnie podstępne, ponieważ modyfikuje legalne pliki binarne antywirusów renomowanych firm, takich jak BitDefender, Malwarebytes i Sophos. Te pliki binarne są następnie ponownie podpisywane fałszywymi certyfikatami, co pozwala złośliwemu oprogramowaniu na nawiązywanie połączeń proxy za pośrednictwem serwera poleceń i kontroli (C2).

Podstawową funkcją SbaProxy jest tworzenie usług proxy, które kierują ruch przez serwer C2 i zainfekowaną maszynę, ułatwiając złośliwe działania. Złośliwe oprogramowanie obsługuje tylko połączenia TCP, ale jego wyrafinowana konstrukcja i legalny wygląd sprawiają, że trudno je wykryć.

Pojawienie się EDRKillShifter i SbaProxy podkreśla rosnącą wyrafinowanie cyberzagrożeń, z którymi mierzą się obecnie organizacje. Narzędzia te są częścią rosnącego arsenału wykorzystywanego przez cyberprzestępców do omijania tradycyjnych środków bezpieczeństwa i prowadzenia złośliwych działań bez wykrycia. Dzięki pozostawaniu na bieżąco z tymi zagrożeniami i wdrażaniu solidnych praktyk bezpieczeństwa organizacje mogą lepiej chronić swoje systemy przed tymi rozwijającymi się niebezpieczeństwami.