Хакерски групи са започнали да използват софтуер, целящ да неутрализира Endpoint Detection and Response (EDR) решения.
Откритието е на Sophos, които публикуват детайлен анализ на неуспешна атака срещу работни станции, защитени с техния Intercept X Endpoint. Използваният инструмент е EDRKillShifter, а анализът обхваща 2 негови варинта.
Мехнизмът на заобикаляне е свързан с екплоатирането на легитмни, но уязвими драйвери (в случая RentDrv2 и ThreatFireMonitor), а атаката се развива в три стъпки:
- инициализиране на EDRKillShifter с конзолана команда;
- изпълнимият файл декриптира вграден ресурс с име BIN в паметта и го изпълнява;
- ресурсът се извлича payload-а, който сваля и използва уязвимия драйвер, за да получи привилегии, достатъчни за неутрализиране на EDR софтуера.
За да се защитите от подобни атаки:
- поддържайте разделение между потребителските и администраторските акаунти, за да попречите на нападателите да зареждат уязвими драйвери;
- актуализирайте редовно операционната си ситема.
Свързани материали
-
-
-
-
-
