Qilin EDR killer
A Cisco Talos elemzés a Qilin ransomware kampány egyik kulcselemére, az EDR killer komponensre fókuszál, amelyel a támadók már nem megkerülik a védelmet, hanem célzottan kiiktatják azt a támadási lánc korai szakaszában.
A fertőzési lánc központi eleme egy rosszindulatú msimg32.dll, amelyet legitim alkalmazások DLL sideloading technikával töltenek be. A kártékony kód így a normál program működésébe ágyazódik, miközben a háttérben több lépcsős loader mechanizmus indul el. A payload teljes egészében memóriában kerül végrehajtásra, minimalizálva a diszken hagyott nyomokat és megnehezítve a detektálást.
A támadás fő célja nem az azonnali kár okozása, hanem az endpoint védelmi rendszerek vakon tartása. Az EDR killer komponens képes több mint 300 különböző EDR driver leállítására vagy megkerülésére, így gyakorlatilag a legtöbb piaci megoldás ellen hatékony. Ez kernel szinten történik, például driver manipulációval és rendszerhívások megkerülésével, ami a védelem alapvető láthatóságát szünteti meg.
A malware fejlett evasion technikákat alkalmaz, többek között API-hook megkerülést, Event Tracing for Windows kikapcsolást és obfuszkált vezérlési folyamatokat. Ezek célja, hogy a viselkedésalapú detekció is hatástalan legyen, miközben a támadó zavartalanul folytathatja a laterális mozgást és az előkészítést a ransomware végrehajtására.
