勒索軟體惡意組織 RansomHub 正在使用一種新型惡意程式,專門針對企業端點偵測與回應(EDR)安全軟體進行攻擊。這種被命名為 EDRKillShifter 的惡意程式,利用「自帶易受攻擊驅動程式」(Bring Your Own Vulnerable Driver,BYOVD)技術來提升權限並停用目標系統的安全防護。
根據 Sophos 安全公司調查,EDRKillShifter 於 2024 年 5 月首次被發現。該惡意程式的運作機制包括三個主要步驟:
- 通過密碼字串啟動並解密嵌入資源
- 解壓縮並執行最終負載
- 利用易受攻擊的合法驅動程式提升權限並停用 EDR 程序
Sophos 威脅研究員 Andreas Klopsch 表示:「我們有中度信心認為,這個工具正被多個攻擊者使用。」他指出,在一次攻擊中,EDRKillShifter 嘗試終止 Sophos 的防護,但未能成功。
研究人員發現了
兩種 EDRKillShifter 變體,分別利用名為 RentDrv2 和 ThreatFireMonitor 的易受攻擊驅動程式。值得注意的是,這些攻擊利用了 GitHub 上公開的概念驗證漏洞,並可能將程式碼移植成Go 語言。
為應對此類威脅,Sophos 建議企業採取以下措施:
- 在端點安全產品中啟用防篡改保護
- 嚴格分離使用者和管理員權限
- 及時更新系統,特別是微軟發布的驅動程式安全更新
此外,Sophos 去年還發現了另一種名為 AuKill 的 EDR 終止惡意程式,被用於 Medusa Locker 和 LockBit 勒索軟體攻擊中,顯示此類針對 EDR 的攻擊手法正日益普遍。
本文轉載自bleepingcomputer。