勒索软件攻击者正在出售新的反安全软件工具

Sophos 的研究人员发现了一种新的威胁：EDRKillShifter，这是一种旨在破坏端点检测和响应 (EDR) 系统的复杂工具，该软件旨在阻止勒索软件攻击。

EDRKIllShifter 是一种复杂的加载程序，可提供各种易受攻击的驱动程序，使攻击者能够绕过端点安全并以提升的权限执行恶意代码。该工具最近在一次 RansomHub 勒索软件攻击中被发现，但它未能禁用目标系统上的 Sophos 保护。

EDRKillShifter 充当“加载程序”可执行文件，这是一种合法但易受攻击的驱动程序的交付机制，这种技术通常称为“自带易受攻击的驱动程序”（BYOVD）。加载程序分三个阶段执行：

1. 使用密码执行：攻击者必须使用包含特定 64 个字符密码的命令行运行 EDRKillShifter。如果提供了正确的密码，可执行文件将解密名为 BIN 的嵌入资源并在内存中执行它。

2. 解压有效负载：解密的 BIN 代码解压并执行最终的有效负载，该负载以 Go 编程语言编写。此有效负载会释放并利用易受攻击的驱动程序来获取必要的权限，以解除 EDR 工具的保护。

3. 最终执行：加载器使用自修改代码，在运行时更改其自身指令以混淆其行为并使分析变得困难。然后，最终有效载荷被动态加载到内存中并执行。

EDRKillShifter 工具采用了先进的混淆技术，这让安全研究人员很难分析其行为。使用自修改代码意味着恶意软件会在执行过程中更改其指令，只能实时显示其真实行为。此外，该恶意软件是用 Go 编写的，很可能使用 gobfuscate 等工具进行混淆，这进一步增加了逆向工程的难度。

尽管面临这些挑战，Sophos 研究人员仍能够使用 Mandiant 的 GoReSym 工具提取有价值的信息。分析显示，EDR 杀手的所有变体都在 .data 部分嵌入了易受攻击的驱动程序，并且行为相似，尽管它们利用不同的驱动程序。

Sophos X-Ops 怀疑加载程序和最终有效载荷可能由不同的实体开发，这表明网络犯罪集团之间可能存在合作。虽然这一假设尚未得到证实，但它表明网络威胁的复杂性和商业化程度正在不断提高。

有关 EDRKillShifter 及其影响的更多详细分析和见解，请访问Sophos X-Ops 博客。

https://news.sophos.com/en-us/2024/08/14/edr-kill-shifter/

原文始发于微信公众号（独眼情报）：勒索软件攻击者正在出售新的反安全软件工具