Sophos安全研究人员揭露了一款名为EDRKillShifter的新型工具,该工具被用于攻击并终止端点防护软件。这一发现是在分析一起针对名为RansomHub的勒索软件攻击的失败尝试中被披露的。尽管勒索软件攻击未能成功,但事后分析揭示了这一新工具的存在。
自2022年起,随着用户越来越广泛地采用EDR工具保护端点,分析人员观察到,旨在禁用EDR系统的恶意软件在技术上越来越复杂。EDRKillShifter是此类恶意软件中的最新成员,它是一种“加载器”可执行文件,用于传递可能被滥用的合法驱动程序,也就是所谓的“自带易受攻击的驱动程序”(BYOVD)工具。
EDRKillShifter工作原理:
EDRKillShifter工具是一个“加载器”可执行文件,它是一种传递易受滥用的合法驱动程序的机制(也被称为“自带易受攻击的驱动程序”,或BYOVD工具)。根据攻击者的要求,它可以传递各种不同的驱动程序有效载荷。
执行过程包括三个步骤:攻击者必须使用包含密码字符串的命令行执行EDRKillShifter。当使用正确的密码运行时,可执行文件会解密一个名为BIN的嵌入资源,并在内存中执行它。
初步分析显示,所有样本都共享相同的版本数据,原始文件名为Loader.exe,产品名为ARK-Game,暗示攻击者可能试图将最终有效载荷伪装成流行的电脑游戏ARK: Survival Evolved。所有样本都需要一个独特的64字符密码,如果密码错误或未提供,则不会执行。
执行失败:
加载最终的EDR杀手到内存:
最终有效载荷分析:
缓解措施和建议:
-
确保端点安全产品实现并启用了防篡改保护。
-
实施强化的Windows系统安全策略,确保用户帐户与管理员帐户之间有明确的权限分离。 -
保持系统更新,利用微软去年开始推动的更新撤销已知被滥用的已签名驱动程序的认证。
参考链接:
https://news.sophos.com/en-us/2024/08/14/edr-kill-shifter/
原文始发于微信公众号(白泽安全实验室):新型“EDR杀手”工具现身网络攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论