新型EDR殺手工具橫掃八大勒索軟體集團：RansomHub打造終極安全繞過利器

資安研究人員發現一款被視為「EDRKillShifter」進化版的EDR殺手工具。該工具由RansomHub勒索軟體集團開發，目前已被觀察到在八個不同勒索軟體組織的攻擊行動中大量使用。

根據Sophos資安研究人員的分析，這款尚未正式命名的新型工具目前被八個勒索軟體集團採用，包括RansomHub、Blacksuit、Medusa、Qilin、Dragonforce、Crytox、Lynx和INC等知名威脅組織。這類EDR殺手工具的主要目的是協助勒索軟體攻擊者關閉被入侵系統上的安全系統，讓惡意行為者能夠順利部署惡意程式、提升權限、橫向移動，並最終加密網路上的裝置而不被偵測。

攻擊手法與技術特徵

新型EDR殺手工具採用高度混淆的二進制檔案設計，執行時會進行自我解碼並注入合法應用程式中。該工具會主動搜尋具有隨機五字元名稱的數位簽章驅動程式，這些驅動程式使用被盜或過期的憑證進行簽署，並將這些名稱硬編碼進執行檔內。

一旦找到目標驅動程式，惡意驅動程式便會被載入系統核心，這是「自帶有漏洞驅動程式」（BYOVD）攻擊的關鍵步驟，目的是獲取關閉安全產品所需的核心層級權限。這些驅動程式會偽裝成合法檔案，例如CrowdStrike Falcon偵測驅動程式，一旦成功啟動，就會立即終止所有防毒軟體與EDR相關的處理程序，並停止安全工具相關的系統服務。

被這款EDR殺手工具鎖定的資安廠商範圍相當廣泛，包括Sophos、Microsoft Defender、卡巴斯基、賽門鐵克、趨勢科技、SentinelOne、Cylance、McAfee、F-Secure、HitmanPro和Webroot等主要業者。儘管新型EDR殺手工具的不同變種在驅動程式名稱、鎖定的防毒軟體類型和建置特性上有所差異，但它們都使用HeartCrypt進行封裝處理。

值得注意的是，研究證據顯示，即使是競爭對手的威脅團體之間也存在知識和工具共享的現象，這反映出勒索軟體生態系統中的合作模式正在演變。

工具共享策略成為新趨勢

Sophos特別指出，這款工具不太可能是因為被洩漏後才被其他威脅行為者重複使用，而是透過共享和協作框架進行開發的結果。研究顯示，這並非單一EDR殺手工具洩漏後被多方複製使用的情況。實際上，每個攻擊行動都採用了量身打造的不同版本，反映出威脅組織間的深度合作模式。

這種工具共享策略在勒索軟體領域中已十分普遍，特別是針對EDR殺手工具的開發與散佈。除了這款新型工具外，Sophos也發現另一款名為AuKill的類似工具，被Medusa Locker和LockBit勒索軟體集團用於攻擊行動。

SentinelOne在去年的報告中指出，駭客組織FIN7正積極向多個勒索軟體集團銷售其客製化的「AvNeutralizer」工具，客戶包括BlackBasta、AvosLocker、MedusaLocker、BlackCat、Trigona和LockBit等知名威脅組織。這種現象顯示勒索軟體即服務（RaaS）模式正朝向更專業化的分工發展。

隨著勒索軟體集團之間的合作日益密切，企業面臨的威脅環境變得更加複雜且難以預測。這種工具共享模式不僅提升了攻擊效率，也使得防禦方更難以建立有效的對策。

企業應加強對EDR解決方案的多層防護策略，定期更新安全軟體，並建立完善的事件回應機制，以應對這類進階持續性威脅。同時，與此新型EDR殺手工具相關的完整入侵指標（IoCs）已公佈於GitHub儲存庫，供資安團隊參考使用。

本文轉載自 BleepingComputer。