Новости EDRKillShifter: новый способ обхода EDR-решений

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Уязвимые драйверы помогают обмануть системы безопасности.


mk4volsxj80emu47gfkmbi8deefttv0u.jpg


Группировка RansomHub начала использовать новый вредоносный софт, который отключает EDR -решения на устройствах для обхода механизмов безопасности и получения полного контроля над системой. Инструмент, названный EDRKillShifter, Для просмотра ссылки Войди или Зарегистрируйся специалистами Sophos после неудачной атаки в мае 2024 года.

EDRKillShifter — это программа-загрузчик, которая позволяет провести атаку типа Bring Your Own Vulnerable Driver ( BYOVD ), в ходе которой используется легитимный, но уязвимый драйвер для повышения привилегий, отключения средств защиты и получения полного контроля над системой.

Sophos обнаружила 2 различных образца EDRKillShifter, оба из которых используют общедоступные PoC-эксплойты с GitHub. Один из образцов эксплуатирует уязвимый драйвер RentDrv2, а другой — драйвер ThreatFireMonitor, являющийся компонентом устаревшего пакета мониторинга системы. EDRKillShifter также способен загружать различные драйверы в зависимости от потребностей атакующих.

Процесс выполнения EDRKillShifter состоит из трех шагов. Сначала злоумышленник запускает бинарный файл с паролем для расшифровки и выполнения встроенного ресурса BIN в памяти. Затем код распаковывает и выполняет конечную полезную нагрузку, которая загружает уязвимый драйвер для повышения привилегий, отключения активных процессов и EDR-систем.

Вредоносное ПО создает новую службу для драйвера, запускает её и загружает драйвер, после чего входит в бесконечный цикл, непрерывно проверяя запущенные процессы и завершая их, если имена процессов совпадают с зашифрованным списком целей.


ouvqujh82sbo7brvjsgfbkhf7qwow3za.png


Цепочка атаки EDRKillShifter

Sophos рекомендует включать защиту от взлома в продуктах безопасности для конечных точек, поддерживать разделение прав пользователя и администратора для предотвращения загрузки уязвимых драйверов злоумышленниками, а также регулярно обновлять системы, учитывая, что Microsoft регулярно отзывает сертификаты подписанных драйверов, которые были использованы в предыдущих атаках.
 
Источник новости
www.securitylab.ru

Похожие темы