最近,安全公司Malwarebytes发现了一种新的勒索软件攻击案例。——勒索软件RansomHub通过利用卡巴斯基的TDSSKiller工具,关闭了目标系统上的端点检测和响应服务(EDR)。这种攻击方式使得RansomHub可在目标系统上部署其他恶意工具,比如本例中的LaZagne,用于窃取登录凭据。
据了解,TDSSKiller是Kaspersky开发的一款免费工具,用于扫描系统中的rootkit和bootkit(这两种类型的恶意软件非常难以检测,且可以躲避标准的安全工具)。而TDSSKiller则可以与内核级服务交互,关闭或删除服务。由于TDSSKiller是由卡巴斯基签名的合法工具,因此不会被安全解决方案标记为恶意软件。
在最近观察到的攻击案例中,RansomHub主要有以下步骤:
1. 网络侦察:RansomHub首先进行网络侦察,枚举管理员组使用命令,如“net1 group ‘Enterprise Admins’ /do”。
2. 关闭EDR系统:RansomHub使用TDSKiller工具关闭EDR系统。TDSKiller被执行从临时目录(C:Users<User>AppDataLocalTemp)使用命令“tdsskiller.exe -dcsvc MBAMService”。
3. 部署LaZagne工具:RansomHub部署LaZagne工具,用于收集凭据。LaZagne工具从系统中提取密码,如浏览器、电子邮件客户端和数据库。
这种攻击方式使得RansomHub可以在系统上部署其他恶意工具,例如LaZagne,用于窃取登录凭据。这种攻击方式还使得RansomHub可以关闭EDR系统,潜在地使得其可以在网络中进行横向移动并访问关键系统。
为了防御这种类型的攻击,安全公司Malwarebytes建议激活EDR解决方案的防篡改保护功能,以确保攻击者无法使用一些工具如TDSSKiller关闭EDR服务。另外,监控TDSSKiller的执行和“-dcsvc”标志(用于关闭或删除服务的参数)也可以帮助检测和阻止恶意活动。
资讯来源:Malwarebytes ThreatDown
转载请注明出处和本文链接
原文始发于微信公众号(看雪学苑):卡巴斯基TDSSKiller工具被勒索软件RansomHub滥用来关闭EDR软件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3160027.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论