https://www.informationsecurity.com.tw/seminar/2024_Finance/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

新聞

專攻端點偵測與回應!新型勒索軟體惡意程式現身且已有變體

2024 / 08 / 16
編輯部
專攻端點偵測與回應!新型勒索軟體惡意程式現身且已有變體
勒索軟體惡意組織 RansomHub 正在使用一種新型惡意程式,專門針對企業端點偵測與回應(EDR)安全軟體進行攻擊。這種被命名為 EDRKillShifter 的惡意程式,利用「自帶易受攻擊驅動程式」(Bring Your Own Vulnerable Driver,BYOVD)技術來提升權限並停用目標系統的安全防護。
 
根據 Sophos 安全公司調查,EDRKillShifter 於 2024 年 5 月首次被發現。該惡意程式的運作機制包括三個主要步驟:
  1.  通過密碼字串啟動並解密嵌入資源
  2.  解壓縮並執行最終負載
  3.  利用易受攻擊的合法驅動程式提升權限並停用 EDR 程序
Sophos 威脅研究員 Andreas Klopsch 表示:「我們有中度信心認為,這個工具正被多個攻擊者使用。」他指出,在一次攻擊中,EDRKillShifter 嘗試終止 Sophos 的防護,但未能成功。
 
研究人員發現了兩種 EDRKillShifter 變體,分別利用名為 RentDrv2 和 ThreatFireMonitor 的易受攻擊驅動程式。值得注意的是,這些攻擊利用了 GitHub 上公開的概念驗證漏洞,並可能將程式碼移植成Go 語言。
 
為應對此類威脅,Sophos 建議企業採取以下措施:
  1. 在端點安全產品中啟用防篡改保護
  2. 嚴格分離使用者和管理員權限
  3. 及時更新系統,特別是微軟發布的驅動程式安全更新
 
此外,Sophos 去年還發現了另一種名為 AuKill 的 EDR 終止惡意程式,被用於 Medusa Locker 和 LockBit 勒索軟體攻擊中,顯示此類針對 EDR 的攻擊手法正日益普遍。
 
本文轉載自bleepingcomputer。