RansomHub fidye yazılımı operatörleri artık Kendi Savunmasız Sürücü (BYOVD) saldırılarınızı getirmede Bitiş Noktası Algılama ve Yanıt (EDR) Güvenlik Yazılımını devre dışı bırakmak için yeni kötü amaçlı yazılımlar kullanıyor.
Mayıs 2024 fidye yazılımı soruşturması sırasında keşfeden Sophos güvenlik araştırmacıları tarafından EdrkillShifter olarak adlandırılan kötü amaçlı yazılım, ayrıcalıkları artırmak, güvenlik çözümlerini devre dışı bırakmak ve sistemin kontrolünü ele geçirmek için hedeflenen cihazlara meşru, savunmasız bir sürücü dağıtıyor.
Bu teknik, finansal olarak motive edilen fidye yazılımı çetelerinden devlet destekli hack gruplarına kadar çeşitli tehdit aktörleri arasında çok popülerdir.
Sophos Tehdit Araştırmacısı Andreas'ı hedeflenen bilgisayarda Sophos korumasını sonlandırmak için EdrkillShifter'ı kullanmaya çalıştılar, "Mayıs ayında olay sırasında, bu aracın birden fazla saldırgan tarafından kullanıldığına dair ılımlı bir güvenle tahmin ediyoruz." Dedi. Klopsch.
"Daha sonra kontrol ettikleri makinede fidye yazılımı yürütülebilir dosyasını çalıştırmaya çalıştılar, ancak bu da uç nokta aracısının kriptoguard özelliği tetiklendiğinde de başarısız oldu."
Sophos, araştırırken, GitHub'da bulunan kavram kanıtı istismarları olan iki farklı örnek keşfetti: biri Rentdrv2 olarak bilinen savunmasız bir sürücüyü kullanıyor ve diğeri, kullanımdan kaldırılmış bir sistem izleme paketinin bir bileşeni olan Cehbekeratoritor adlı bir sürücüyü kullanıyor.
Sophos ayrıca EdrkillShifter'ın saldırganların ihtiyaçlarına göre çeşitli sürücü yükleri sağlayabildiğini ve kötü amaçlı yazılım mülkünün Rus yerelleştirmesine sahip bir bilgisayarda derlendiğini öne sürdüğünü buldu.
Yükleyicinin yürütülmesi üç adım içerir: Birincisi, saldırgan, bellekte bin adlı gömülü bir kaynağı şifresini çözmek ve yürütmek için bir şifre dizesi ile EdrkillShifter ikili olarak başlatır. Bu kod daha sonra, ayrıcalıkları artırmak ve aktif EDR işlemlerini ve hizmetlerini devre dışı bırakmak için savunmasız, meşru bir sürücüyü düşüren ve kullanan son yükü açar ve yürütür.
Klopch, "Kötü amaçlı yazılım sürücü için yeni bir hizmet oluşturduktan, hizmeti başlattıktan ve sürücüyü yükledikten sonra, adları sert kodlanmış hedef listesinde görünürse işlemleri sonlandıran süreçleri sürekli olarak numaralandıran sonsuz bir döngü girer."
"GitHub'da mevcut olan kavram kanıtı istismarlarını kullanarak, her iki varyantın meşru (savunmasız olsa da) sürücülerden yararlandığını da belirtmek gerekir. Tehdit aktörlerinin bu kavram kanıtlarının bölümlerini kopyaladığından şüpheleniyoruz, bunları değiştirdi ve taşıdı. GO diline kod. "
Sophos, Microsoft'un önceki saldırılarda kötüye kullanıldığı bilinen imzalı sürücüleri desteklemesini sağladığı göz önüne alındığında, saldırganların savunmasız sürücüleri yüklemesini önlemek ve sistemleri güncel tutmasını önlemek için uç nokta güvenlik ürünlerinde kurcalama korumasının sağlanmasını, kullanıcı ve yönetici ayrıcalıkları arasında bir ayrım yapmasını önerir.
Geçen yıl, Sophos, Medusa Locker ve Lockbit fidye yazılımı saldırılarında savunmasız bir süreç gezgini sürücüsünü istismar eden Aukill olarak adlandırılan başka bir EDR-öldürücü kötü amaçlı yazılım gördü. Aukill, Backstab olarak bilinen ve savunmasız bir süreç gezgini sürücüsünü de kullanan ve Lockbit çetesi tarafından Sophos X-Ops tarafından gözlemlenen en az bir saldırıda kullanılan açık kaynaklı bir araca benzer.
Kötü şöhretli Fin7 hackerları EDR katilini diğer tehdit aktörlerine satıyor
Rite Aid, Haziran Veri ihlalinin 2,2 milyon kişiyi etkilediğini söylüyor
Ransomhub gasp çetesi şu anda yok olan Şövalye Fidye Yazılımına Bağlı
Rite Aid, Haziran Fidye Yazılımı Saldırısı'ndan sonra veri ihlalini teyit eder
Fidye Yazılımı Saldırısında Çalınan Sağlık Hizmetlerini Değiştirin Tıbbi Verileri Listeler
Kaynak: Bleeping Computer