![RansomHub团伙滥用TDSSKiller工具禁用EDR防御]( "【新闻转载】RansomHub团伙滥用TDSSKiller工具禁用EDR防御")
RansomHub勒索软件团伙一直在使用卡巴斯基的合法工具TDSSKiller来禁用目标系统上的端点检测和响应(EDR)服务。
在摧毁防御措施之后,RansomHub部署了LaZagne凭证收集工具,以从各种应用程序数据库中提取登录信息,这些信息可能有助于在网络中横向移动。
卡巴斯基创建了TDSSKiller作为一个可以扫描系统中是否存在rootkits和bootkits的工具,这两种恶意软件尤其难以检测并且能够逃避标准的安全工具。
EDR(端点检测和响应)代理是更高级的解决方案,至少部分在内核级别运行,因为它们需要监控和控制低级系统活动,如文件访问、进程创建和网络连接,这些都提供了针对勒索软件等威胁的实时保护。
网络安全公司Malwarebytes报告称,他们最近观察到RansomHub滥用TDSSKiller,通过命令行脚本或批处理文件与内核级服务交互,从而禁用了在机器上运行的Malwarebytes Anti-Malware服务(MBAMService)。
这个合法工具在侦察和权限提升阶段之后被使用,并从临时目录(‘C:Users<用户>AppDataLocalTemp’)使用动态生成的文件名(‘{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe’)执行。
作为一个带有有效证书的合法工具,TDSSKiller不会让RansomHub的攻击被安全解决方案标记或阻止。
接下来,RansomHub使用了LaZagne工具,试图从数据库中提取存储的凭据。在Malwarebytes调查的攻击中,该工具生成了60个文件写入操作,这些操作很可能是被盗凭据的日志。
删除文件的行为可能是攻击者试图掩盖他们在系统上的活动所导致的。
检测LaZagne相对简单,因为大多数安全工具都会将其标记为恶意软件。然而,如果使用TDSSKiller来停用防御措施,其活动可能会变得不可见。
TDSSKiller处于一个灰色地带,因为一些安全工具,包括Malwarebytes的ThreatDown,将其标记为“风险软件”,这对用户来说可能是一个警告信号。
安全公司建议激活EDR解决方案的防篡改保护功能,以确保攻击者无法使用TDSSKiller等工具禁用它们。
此外,监控‘-dcsvc’标志(用于禁用或删除服务的参数)以及TDSSKiller本身的执行行为,有助于检测和阻止恶意活动。
https://www.bleepingcomputer.com/news/security/ransomhub-ransomware-abuses-kaspersky-tdsskiller-to-disable-edr-software/
原文始发于微信公众号(solar专业应急响应团队):【新闻转载】RansomHub团伙滥用TDSSKiller工具禁用EDR防御
评论