為什麼您應該警惕 EDRKillShifter 惡意軟體威脅
最近,網路安全領域出現了一種名為 EDRKillShifter 的新型複雜惡意軟體工具。該工具與臭名昭著的 RansomHub 勒索軟體組織有關聯,旨在消除受感染系統上的端點檢測和回應 (EDR) 軟體。透過消除這些關鍵的安全防禦,EDRKillShifter 為威脅行為者升級攻擊鋪平了道路,可能導致毀滅性後果。
EDRKillShifter 是網路犯罪分子更廣泛趨勢的一部分,他們越來越多地部署類似的實用程序,例如 AuKill(也稱為 AvNeutralizer)和 Terminator,以停用 EDR 解決方案。這些工具特別危險,因為它們利用合法的驅動程式(系統上硬體功能不可或缺的軟體元件),而這些驅動程式很容易被濫用。這種方法稱為「自帶易受攻擊的驅動程式」(BYOVD),允許攻擊者在不立即引起懷疑的情況下傳遞惡意負載。
Table of Contents
EDRKillShifter 的機制
EDRKillShifter 工具作為「載入程式」可執行檔案運行,這是將合法但易受攻擊的驅動程式傳遞到目標系統上的程式。這種交付方法使惡意軟體能夠利用驅動程式的合法性來繞過安全機制。執行後,工具會解密名為 BIN 的嵌入式資源,其中包含用 Go 程式語言編寫的最終有效負載。此有效負載經過混淆處理,難以偵測和分析。啟動後,它會利用各種易受攻擊的驅動程式來取得提升的權限並停用 EDR 軟體,從而有效地解除系統的主要防禦。
進一步的分析表明,與 EDRKillShifter 相關的二進位檔案是在具有俄語本地化設定的系統上編譯的,這表明該惡意軟體的潛在來源。對於惡意軟體的操作至關重要的嵌入式驅動程式隱藏在可執行檔的.data 部分中,這為其檢測增加了另一層複雜性。
更廣泛的網路犯罪背景
RansomHub 是 EDRKillShifter 背後的網路犯罪組織,據信是 2024 年 2 月出現的 Knight 勒索軟體組織的更名。一旦進入內部,他們通常會部署 Atera 和 Splashtop 等合法的遠端桌面工具來維持持久訪問,使他們的活動更難以檢測。
微軟最近的調查結果將臭名昭著的 Scattered Spider 電子犯罪集團與 RansomHub 和 Qilin 等其他勒索軟體菌株的使用聯繫起來,這加劇了威脅情勢的複雜性。這種聯繫凸顯了網路犯罪分子不斷演變的策略,他們不斷改進繞過安全措施的方法。
緩解 EDRKillShifter 威脅
為了防範 EDRKillShifter 等威脅,採用多層安全方法至關重要:
- 定期更新:確保所有系統和軟體保持最新修補程式。這有助於消除惡意軟體可以利用的已知漏洞。
- 啟用篡改保護:啟動 EDR 軟體內的篡改保護功能,以防止未經授權的修改或停用安全工具。
- 實施強而有力的 Windows 安全實務:嚴格區分使用者和管理員權限。這限制了攻擊者提升權限和執行惡意驅動程式的能力。
- 保持警覺的安全監控:持續監控網路活動是否有異常行為,特別是任何載入或執行驅動程式的嘗試,這可能表示正在進行的攻擊。
SbaProxy 的崛起:新的隱密層
除了 EDRKillShifter 之外,威脅行為者還部署了一種名為 SbaProxy 的新型隱形惡意軟體。這種惡意軟體特別陰險,因為它修改來自 BitDefender、Malwarebytes 和 Sophos 等知名公司的合法防毒二進位。然後,這些二進位檔案會使用偽造的憑證重新簽名,從而允許惡意軟體透過命令和控制 (C2) 伺服器建立代理連線。
SbaProxy 的主要功能是建立代理服務,透過 C2 伺服器和受感染的電腦路由流量,從而促進惡意活動。該惡意軟體僅支援 TCP 連接,但其複雜的設計和合法的外觀使其難以檢測。
EDRKillShifter 和 SbaProxy 的出現凸顯了當今組織面臨的網路威脅日益複雜。這些工具是網路犯罪分子不斷增長的武器庫的一部分,它們用來繞過傳統安全措施並在不被發現的情況下進行惡意活動。透過隨時了解這些威脅並實施強大的安全實踐,組織可以更好地保護其係統免受這些不斷變化的危險的影響。
