新型工具用以终止终端检测和响应EDR工具的现象
关键要点
一种新型工具“EDRKillShifter”被不明犯罪团伙部署,目的是攻击使用RansomHub勒索软件的组织。RansomHub已在多起重大网络攻击中被使用,如Change Healthcare、Frontier Communications和Christie’s拍卖行。EDRKillShifter尝试终止Sophos保护程序,但未成功,此工具显示出网络攻击者的高度复杂性和针对性。近年来,恶意软件逐渐演变出更加复杂的特性,攻击EDR系统的手段不断增加。根据最近的报告,一个不明的犯罪团伙正在利用一种新型工具攻击组织,目标是使用RansomHub勒索软件的机构。这个新型工具专门用于终止终端检测和响应EDR工具,引发了安全专家的广泛关注。由于RansomHub在诸如 Change Healthcare、Frontier Communications 和 Christie’s拍卖行等重大攻击事件中频繁出现,这一消息更加令人不安。
根据Sophos的 8月14日博文,该公司研究人员发现一种被称为“EDRKillShifter”的EDR终止工具。虽然该工具试图终止Sophos的保护程序,但最终未能成功。研究人员在对一起事件进行检讨分析时发现了这一工具,并指出自2022年以来,专门用来禁用EDR系统的恶意软件复杂性在逐步增加。Sophos还提到,他们此前对另一种EDR杀手工具AuKill进行了研究,该工具在去年被发现并在犯罪市场上出售。
Ontinue安全运营副总裁Craig Jones表示,目前尚不清楚这一潜在的网络犯罪团伙的身份,但其使用RansomHub的行为表明该团伙经验丰富,并且决心坚定。Jones补充说,他们采用这一新工具并专门设计用来禁用EDR软件,显然是其技术水平的表现。
Jones解释称,EDRKillShifter属于“自带漏洞驱动程序”BYOVD工具的一个更大类别。在BYOVD策略中,攻击者利用合法签名但存在漏洞的驱动程序来破坏安全机制。他指出,这种工具的运用意在利用系统中已经信任的现有驱动程序中的漏洞,从而在不引起警觉的情况下关闭EDR软件。
以2022年为例,Lazarus Group就通过 Dell驱动程序中的一个漏洞 来达成相似目的,这突显了该技术的有效性和危险性。
“潜在危险极为显著,”Jones说道。“一旦EDR不再起作用,这些攻击者就能在被感染的系统上大幅降低被侦测的风险,从而拥有更广泛的时间窗口来部署勒索软件或其他恶意payload。”
clash verge官网曾在NSA担任网络安全专家的Evan Dornbush解释称,许多EDR工具在操作
