RansomHub勒索软件使用卡巴斯基安全工具TDSSKiller关闭终端安全软件

admin 2024年9月12日15:16:23评论13 views字数 969阅读3分13秒阅读模式

RansomHub勒索软件使用卡巴斯基安全工具TDSSKiller关闭终端安全软件

ThreatDown 托管检测和响应 (MDR) 团队发现 RansomHub 勒索软件组织正在使用合法工具 TDSSKiller 来禁用目标设备上的端点检测和响应 (EDR) 措施。除了 TDSSKiller,网络犯罪分子还使用 LaZagne 来收集数据。虽然这些程序在网络犯罪领域早已为人所熟知,但这是 RansomHub 首次部署这些程序。

TDSSKiller 最初由卡巴斯基实验室开发,用于清除 rootkit,后来被重新用于禁用 EDR 系统。在进行侦察并识别具有提升权限的帐户后,RansomHub 尝试禁用 MBAMService 保护。

该工具是从临时目录执行的,文件名是动态生成的,这让检测更加困难。由于 TDSSKiller 是具有有效证书的合法程序,因此许多安全系统无法将攻击者的行为识别为威胁。

一旦安全系统被禁用,RansomHub 就会部署 LaZagne 从受感染的系统中获取凭证。该程序从各种应用程序(包括浏览器、电子邮件客户端和数据库)中提取密码,使攻击者能够提升权限并在网络中横向移动。在本例中,网络犯罪分子的目标是访问数据库,从而控制关键系统。

在攻击过程中,LaZagne 创建了 60 多个文件,其中大部分包含登录凭据和密码。为了掩盖行踪,攻击者还在行动完成后删除了多个文件。

检测 LaZagne 相对简单,因为大多数防病毒程序都会将其标记为恶意软件。但是,如果使用 TDSSKiller 禁用安全系统,LaZagne 的活动就会被大多数监控工具发现。

ThreatDown 建议组织采取额外的预防措施来防御此类攻击。具体来说,它建议限制使用 TDSSKiller 等易受攻击的驱动程序,并监控系统内执行的可疑。

https://www.threatdown.com/blog/new-ransomhub-attack-uses-tdskiller-and-lazagne-disables-edr/

https://www.sangfor.com/farsight-labs-threat-intelligence/cybersecurity/lockbit-ransomware-silently-disables-edr-using-tdsskiller

原文始发于微信公众号(独眼情报):RansomHub勒索软件使用卡巴斯基安全工具TDSSKiller关闭终端安全软件

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月12日15:16:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   RansomHub勒索软件使用卡巴斯基安全工具TDSSKiller关闭终端安全软件http://cn-sec.com/archives/3158724.html

发表评论

匿名网友 填写信息