为何应警惕 EDRKillShifter 恶意软件威胁
网络安全领域最近出现了一种名为 EDRKillShifter 的新型复杂恶意软件工具。该工具与臭名昭著的 RansomHub 勒索软件组织有关,旨在消除受感染系统上的端点检测和响应 (EDR) 软件。通过消除这些关键的安全防御措施,EDRKillShifter 为威胁行为者升级攻击铺平了道路,可能导致灾难性的后果。
EDRKillShifter 是网络犯罪分子日益流行的一种趋势的一部分,他们越来越多地部署类似的实用程序,例如 AuKill(也称为 AvNeutralizer)和 Terminator,以禁用 EDR 解决方案。这些工具特别危险,因为它们利用了合法驱动程序(系统硬件运行不可或缺的软件组件),而这些驱动程序很容易被滥用。这种方法被称为“自带易受攻击的驱动程序”(BYOVD),允许攻击者在不引起立即怀疑的情况下传递恶意负载。
Table of Contents
EDRKillShifter 的机制
EDRKillShifter 工具以“加载器”可执行文件的形式运行,这是一种将合法但易受攻击的驱动程序传递到目标系统的程序。这种传递方法使恶意软件能够利用驱动程序的合法性来绕过安全机制。一旦执行,该工具就会解密一个名为 BIN 的嵌入式资源,其中包含用 Go 编程语言编写的最终有效载荷。这个有效载荷被混淆了,很难被检测和分析。激活后,它会利用各种易受攻击的驱动程序来获得提升的权限并禁用 EDR 软件,从而有效地解除系统的主要防御。
进一步分析显示,与 EDRKillShifter 相关的二进制文件是在具有俄罗斯本地化设置的系统上编译的,这表明该恶意软件可能来自俄罗斯。对于该恶意软件的运行至关重要的嵌入式驱动程序隐藏在可执行文件的 .data 部分中,这为其检测增加了另一层复杂性。
更广泛的网络犯罪背景
EDRKillShifter 背后的网络犯罪组织 RansomHub 被认为是 Knight 勒索软件组织的改版,该组织于 2024 年 2 月浮出水面。该组织曾利用已知的安全漏洞获取系统的初始访问权限。一旦进入系统,他们通常会部署合法的远程桌面工具(如 Atera 和 Splashtop)来保持持久访问权限,从而使他们的活动更难被发现。
微软最近的调查结果进一步加剧了威胁形势的复杂性,称臭名昭著的 Scattered Spider 电子犯罪集团与 RansomHub 和其他勒索软件(如 Qilin)的使用有关。这种联系凸显了网络犯罪分子的策略不断演变,他们不断改进绕过安全措施的方法。
缓解 EDRKillShifter 威胁
为了防范 EDRKillShifter 之类的威胁,采用多层安全方法至关重要:
- 定期更新:确保所有系统和软件都安装最新补丁。这有助于消除恶意软件可以利用的已知漏洞。
- 启用防篡改保护:激活 EDR 软件中的防篡改保护功能,以防止未经授权的修改或禁用安全工具。
- 实施强大的 Windows 安全实践:严格区分用户和管理员权限。这限制了攻击者提升权限和执行恶意驱动程序的能力。
- 保持警惕的安全监控:持续监控网络活动中是否存在异常行为,特别是任何加载或执行驱动程序的尝试,这可能预示着正在进行的攻击。
SbaProxy 的崛起:新的隐身层
除了 EDRKillShifter 之外,威胁行为者还被发现部署了一款名为 SbaProxy 的新型隐秘恶意软件。该恶意软件特别阴险,因为它会修改 BitDefender、Malwarebytes 和 Sophos 等知名公司的合法防病毒二进制文件。然后使用伪造的证书重新签名这些二进制文件,从而使恶意软件能够通过命令和控制 (C2) 服务器建立代理连接。
SbaProxy 的主要功能是创建代理服务,通过 C2 服务器和受感染的机器路由流量,从而促进恶意活动。该恶意软件仅支持 TCP 连接,但其复杂的设计和合法的外观使其难以检测。
EDRKillShifter 和 SbaProxy 的出现凸显了当今组织面临的网络威胁日益复杂。这些工具是网络犯罪分子用来绕过传统安全措施并在未被发现的情况下进行恶意活动的日益增多的武器库的一部分。通过随时了解这些威胁并实施强大的安全措施,组织可以更好地保护其系统免受这些不断演变的危险的侵害。
