Нов инструмент за рансъмуер атаки опитва да неутрализира и EDR защита

Хакерски групи са започнали да използват софтуер, целящ да неутрализира Endpoint Detection and Response (EDR) решения.

Откритието е на Sophos, които публикуват детайлен анализ на неуспешна атака срещу работни станции, защитени с техния Intercept X Endpoint. Използваният инструмент е EDRKillShifter, а анализът обхваща 2 негови варинта.

Мехнизмът на заобикаляне е свързан с екплоатирането на легитмни, но уязвими драйвери (в случая RentDrv2 и ThreatFireMonitor), а атаката се развива в три стъпки:

• инициализиране на EDRKillShifter с конзолана команда;
• изпълнимият файл декриптира вграден ресурс с име BIN в паметта и го изпълнява;
• ресурсът се извлича payload-а, който сваля и използва уязвимия драйвер, за да получи привилегии, достатъчни за неутрализиране на EDR софтуера.

За да се защитите от подобни атаки:

• поддържайте разделение между потребителските и администраторските акаунти, за да попречите на нападателите да зареждат уязвими драйвери;
• актуализирайте редовно операционната си ситема.