登录

会员权益

获取需求

查看名片

专属客服

尊贵标识

VIP低至1.5U/天

勒索软件RansomHub利用EDRKillShifter加载作案工具,瘫痪杀毒及EDR产品的防护

分享

支付動態

2024-09-26

半年内已造成超过200个企业组织受害的勒索软件RansomHub,攻击过程里运用EDRKillShifter停用杀毒软件或EDR端点防护工具,如今有研究人员公布新的发现,指出这些黑客攻击全程都会让这支程序维持运作,而能增加得逞的机会

为了加密受害电脑文件,勒索软件黑客RansomHub会运用名为EDRKillShifter的工具,将杀毒软件或端点防护工具EDR停用,该勒索软件运作已超过半年,迄今超过210个企业组织受害,而受到资安圈高度关注。但黑客如何运用EDRKillShifter达到目的?有研究人员公布更多细节。

资安业者趋势科技指出,黑客已将EDRKillShifter整合到他们的攻击链,而这个恶意程序之所以能攻入受害者电脑,主要是利用存在弱点的驱动程序,但除此之外,黑客也企图让这支程序持续于受害电脑运作,目的是让整个攻击流程都能不受干扰。

攻击过程如何进行?黑客运用钓鱼邮件、已知漏洞、密码泼洒攻击等手法,针对曝露于互联网的应用系统及端点电脑,来取得初始入侵的管道。其中一个黑客利用的漏洞,是4年前揭露的Zerologon(CVE-2020-1472)。

在成功进入目标组织的网络环境后,攻击者会使用232.bat、tdskiller.bat、killdeff.bat、LogDel.bat等一系列的批量档,窜改系统组态、终止特定处理进程、停用杀毒软件Microsoft Defender,并窜改事件记录,目的是掩盖攻击者的行踪。

接着,这些黑客借由本机安全认证子系统服务(LSASS)转存帐密数据来提升权限,并滥用NetScan、AnyDesk对网络环境进行侦察,以便横向移动、窃取数据,以及部署勒索软件。

而在上述攻击的过程里,攻击者不只将EDRKillShifter用于阻碍杀毒软件及EDR的运作,还将其当作恶意程序加载工具,来运行各阶段的作案工具。接着,黑客必须下达含有密码的命令才能启动EDRKillShifter,此恶意程序运行时,会打开其嵌入的资源,并在内存内运行,同时滥用存在弱点的驱动程序,取得运作所需的数据。

免责声明:
详情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu