Új EDR killer-t használnak egyes ransomware csoportok
A RansomHub által kifejlesztett EDRKillShifter továbbfejlesztésének tekinthető új EDR killer-t figyeltek emg a Sphos kutatói nyolc különböző ransomware csoport támadásaiban. Az ilyen eszközök segítségével a ransomware operátorok kikapcsolhatják a végpontvédelmi termékeket a megfertőzött rendszereken, így telepíthetik a hasznos terheléseket, növelhetik a jogosultságaikat, megkísérelhetik a laterális mozgást, és végül észrevétlenül titkosíthatják a hálózaton található eszközöket.
A Sophos biztonsági kutatói szerint az új eszközt, amelynek még nincs konkrét neve, a RansomHub, a Blacksuit, a Medusa, a Qilin, a Dragonforce, a Crytox, a Lynx és az INC is használja. Az új EDR killer eszköz egy erősen obfuszkált bináris fájlt használ, amely futáskor önmagát dekódolja, majd beépül a legitim alkalmazásokba. Az eszköz egy digitálisan aláírt (ellopott vagy lejárt tanúsítvánnyal rendelkező) illesztőprogramot keres, amelynek neve véletlenszerűen öt karakterből áll, és amely a végrehajtható fájlba van beépítve. Ha megtalálja, a rosszindulatú illesztőprogramot betölti a rendszermagba, mivel ez szükséges a BYOVD (bring your own vulnerable driver) támadás végrehajtásához és a végpontvédelmi termékek kikapcsolásához szükséges rendszermag-jogosultságok megszerzéséhez.
Az illesztőprogram legitim fájlnak álcázza magát, például a CrowdStrike Falcon Sensor Drivernek, de ha egyszer aktiválódik, leállítja az AV/EDR-rel kapcsolatos folyamatokat és leállítja az ezekhez kapcsolódó szolgáltatásokat.
A célzott gyártók között szerepel a Sophos, a Microsoft Defender, a Kaspersky, a Symantec, a Trend Micro, a SentinelOne, a Cylance, a McAfee, az F-Secure, a HitmanPro és a Webroot.
A Sophos megjegyzi, hogy valószínű, hogy egy megosztott és együttműködésen alapuló keretrendszeren keresztül fejlesztették ki az új EDR killert.
