ThreatDown 托管检测和响应 (MDR) 团队发现, RansomHub 勒索软件组织正在使用合法工具 TDSSKiller 来禁用目标设备上的端点检测和响应 (EDR) 措施。除了 TDSSKiller,网络犯罪分子还使用 LaZagne 来收集数据。虽然这些程序在网络犯罪领域早已为人所熟知,但这是 RansomHub 首次部署这些程序。
TDSSKiller 最初由卡巴斯基实验室开发,用于清除 rootkit,后来被重新用于禁用 EDR 系统。在进行侦察并识别具有提升权限的帐户后,RansomHub 尝试禁用 MBAMService 保护。
该工具是从临时目录执行的,文件名是动态生成的,这让检测更加困难。由于 TDSSKiller 是具有有效证书的合法程序,因此许多安全系统无法将攻击者的行为识别为威胁。
一旦安全系统被禁用,RansomHub 就会部署 LaZagne 从受感染的系统中获取凭证。该程序从各种应用程序(包括浏览器、电子邮件客户端和数据库)中提取密码,使攻击者能够提升权限并在网络中横向移动。在本例中,网络犯罪分子的目标是访问数据库,从而控制关键系统。
在攻击过程中,LaZagne 创建了 60 多个文件,其中大部分包含登录凭据和密码。为了掩盖行踪,攻击者还在行动完成后删除了多个文件。
检测 LaZagne 相对简单,因为大多数防病毒程序都会将其标记为恶意软件。但是,如果使用 TDSSKiller 禁用安全系统,LaZagne 的活动就会被大多数监控工具发现。
ThreatDown 建议组织采取额外的预防措施来防御此类攻击。具体来说,它建议限制使用 TDSSKiller 等易受攻击的驱动程序,并监控系统内执行的可疑。
https://www.threatdown.com/blog/new-ransomhub-attack-uses-tdskiller-and-lazagne-disables-edr/
https://www.sangfor.com/farsight-labs-threat-intelligence/cybersecurity/lockbit-ransomware-silently-disables-edr-using-tdsskiller
原文始发于微信公众号(独眼情报):RansomHub勒索软件使用卡巴斯基安全工具TDSSKiller关闭终端安全软件
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论