为了加密受害电脑文件,勒索软件黑客RansomHub会运用名为EDRKillShifter的工具,将杀毒软件或端点防护工具EDR停用,该勒索软件运作已超过半年,迄今超过210个企业组织受害,而受到资安圈高度关注。但黑客如何运用EDRKillShifter达到目的?有研究人员公布更多细节。
资安业者趋势科技指出,黑客已将EDRKillShifter整合到他们的攻击链,而这个恶意程序之所以能攻入受害者电脑,主要是利用存在弱点的驱动程序,但除此之外,黑客也企图让这支程序持续于受害电脑运作,目的是让整个攻击流程都能不受干扰。
攻击过程如何进行?黑客运用钓鱼邮件、已知漏洞、密码泼洒攻击等手法,针对曝露于互联网的应用系统及端点电脑,来取得初始入侵的管道。其中一个黑客利用的漏洞,是4年前揭露的Zerologon(CVE-2020-1472)。
在成功进入目标组织的网络环境后,攻击者会使用232.bat、tdskiller.bat、killdeff.bat、LogDel.bat等一系列的批量档,窜改系统组态、终止特定处理进程、停用杀毒软件Microsoft Defender,并窜改事件记录,目的是掩盖攻击者的行踪。
接着,这些黑客借由本机安全认证子系统服务(LSASS)转存帐密数据来提升权限,并滥用NetScan、AnyDesk对网络环境进行侦察,以便横向移动、窃取数据,以及部署勒索软件。
而在上述攻击的过程里,攻击者不只将EDRKillShifter用于阻碍杀毒软件及EDR的运作,还将其当作恶意程序加载工具,来运行各阶段的作案工具。接着,黑客必须下达含有密码的命令才能启动EDRKillShifter,此恶意程序运行时,会打开其嵌入的资源,并在内存内运行,同时滥用存在弱点的驱动程序,取得运作所需的数据。



2024-09-26
