Бързи новиниКибератаки

Нов инструмент за рансъмуер атаки опитва да неутрализира и EDR защита

Хакерски групи са започнали да използват софтуер, целящ да неутрализира Endpoint Detection and Response (EDR) решения.

Откритието е на Sophos, които публикуват детайлен анализ на неуспешна атака срещу работни станции, защитени с техния Intercept X Endpoint. Използваният инструмент е EDRKillShifter, а анализът обхваща 2 негови варинта.

Мехнизмът на заобикаляне е свързан с екплоатирането на легитмни, но уязвими драйвери (в случая RentDrv2 и ThreatFireMonitor), а атаката се развива в три стъпки:

  • инициализиране на EDRKillShifter с конзолана команда;
  • изпълнимият файл декриптира вграден ресурс с име BIN в паметта и го изпълнява;
  • ресурсът се извлича payload-а, който сваля и използва уязвимия драйвер, за да получи привилегии, достатъчни за неутрализиране на EDR софтуера.

За да се защитите от подобни атаки:

  • поддържайте разделение между потребителските и администраторските акаунти, за да попречите на нападателите да зареждат уязвими драйвери;
  • актуализирайте редовно операционната си ситема.
Източник
sophos.com
Покажи още
Back to top button