Почему следует опасаться вредоносной угрозы EDRKillShifter

В сфере кибербезопасности недавно появился новый, сложный вредоносный инструмент, известный как EDRKillShifter. Связанный с печально известной группой RansomHub, этот инструмент предназначен для нейтрализации программного обеспечения Endpoint Detection and Response (EDR) на скомпрометированных системах. Устраняя эти критически важные средства защиты, EDRKillShifter прокладывает путь для злоумышленников к эскалации своих атак, что может привести к разрушительным результатам.

EDRKillShifter является частью более широкой тенденции среди киберпреступников, которые все чаще используют похожие утилиты, такие как AuKill (также известный как AvNeutralizer) и Terminator, чтобы отключить решения EDR. Эти инструменты особенно опасны, поскольку они используют легитимные драйверы — программные компоненты, неотъемлемые для функционирования оборудования в системе, — которые уязвимы для злоупотреблений. Этот метод, известный как «принеси свой собственный уязвимый драйвер» (BYOVD), позволяет злоумышленникам доставлять вредоносные полезные нагрузки, не вызывая немедленного подозрения.

Механика EDRKillShifter

Инструмент EDRKillShifter работает как исполняемый файл «загрузчика», тип программы, которая доставляет легитимный, но уязвимый драйвер в целевую систему. Этот метод доставки позволяет вредоносному ПО обходить механизмы безопасности, используя легитимность драйвера. После запуска инструмент расшифровывает встроенный ресурс под названием BIN, который содержит окончательную полезную нагрузку, написанную на языке программирования Go. Эта полезная нагрузка запутана, что затрудняет ее обнаружение и анализ. После активации он использует различные уязвимые драйверы для получения повышенных привилегий и отключения программного обеспечения EDR, эффективно обезвреживая основные средства защиты системы.

Дальнейший анализ показал, что двоичный файл, связанный с EDRKillShifter, был скомпилирован в системе с настройками русской локализации, что предполагает потенциальное происхождение вредоносного ПО. Встроенные драйверы, имеющие решающее значение для работы вредоносного ПО, скрыты в разделе .data исполняемого файла, что добавляет еще один уровень сложности к его обнаружению.

Более широкий контекст киберпреступности

RansomHub, киберпреступная группа, стоящая за EDRKillShifter, считается ребрендингом группы вымогателей Knight, которая появилась в феврале 2024 года. Эта группа имеет историю эксплуатации известных уязвимостей безопасности для получения первоначального доступа к системам. Оказавшись внутри, они часто используют легитимные инструменты удаленного рабочего стола, такие как Atera и Splashtop, чтобы поддерживать постоянный доступ, что затрудняет обнаружение их действий.

Усложняя ландшафт угроз, недавние выводы Microsoft связали печально известный синдикат электронной преступности Scattered Spider с использованием RansomHub и других штаммов программ-вымогателей, таких как Qilin. Эта связь подчеркивает эволюционирующую тактику киберпреступников, которые постоянно совершенствуют свои методы, чтобы обойти меры безопасности.

Снижение угрозы EDRKillShifter

Для защиты от таких угроз, как EDRKillShifter, крайне важно использовать многоуровневый подход к безопасности:

1. Регулярные обновления: убедитесь, что все системы и программное обеспечение обновлены с помощью последних исправлений. Это помогает закрыть известные уязвимости, которые могут использовать вредоносные программы.
2. Включить защиту от несанкционированного доступа: активировать функции защиты от несанкционированного доступа в программном обеспечении EDR, чтобы предотвратить несанкционированные изменения или отключение средств безопасности.
3. Внедрение строгих практик безопасности Windows: внедрение строгого разделения привилегий пользователя и администратора. Это ограничивает возможности злоумышленников повышать привилегии и выполнять вредоносные драйверы.
4. Поддерживайте бдительный мониторинг безопасности: постоянно отслеживайте сетевую активность на предмет необычного поведения, особенно любых попыток загрузки или запуска драйверов, которые могут быть признаком продолжающейся атаки.

Расцвет SbaProxy: новый уровень скрытности

В дополнение к EDRKillShifter, злоумышленники были замечены в развертывании нового скрытого вредоносного ПО под названием SbaProxy. Это вредоносное ПО особенно коварно, поскольку оно изменяет легитимные антивирусные двоичные файлы от авторитетных компаний, таких как BitDefender, Malwarebytes и Sophos. Затем эти двоичные файлы повторно подписываются поддельными сертификатами, что позволяет вредоносному ПО устанавливать прокси-соединения через сервер управления и контроля (C2).

Основная функция SbaProxy — создание прокси-сервисов, которые маршрутизируют трафик через сервер C2 и зараженную машину, способствуя вредоносной активности. Вредоносная программа поддерживает только TCP-соединения, но ее сложная конструкция и легитимный внешний вид затрудняют ее обнаружение.

Появление EDRKillShifter и SbaProxy подчеркивает растущую сложность киберугроз, с которыми сталкиваются организации сегодня. Эти инструменты являются частью растущего арсенала, используемого киберпреступниками для обхода традиционных мер безопасности и осуществления своих вредоносных действий незамеченными. Оставаясь в курсе этих угроз и внедряя надежные методы безопасности, организации могут лучше защитить свои системы от этих развивающихся опасностей.