3 Minutės
Apžvalga: nauja grėsmė galutinių taškų apsaugai
Kibernetinio saugumo tyrėjai aptiko naują požeminį įrankį, kuris veiksmingai neutralizuoja galutinių taškų aptikimą ir atsaką (EDR) bei antivirusines programas dar prieš išpirkos reikalaujančio programinio įrankio (ransomware) įrašymą. Pagal neseną Sophos analizę, keletas išpirkos grupuočių jau naudoja šį patobulintą EDR-killer, kad išjungtų apsaugą iš didžiųjų tiekėjų, tarp kurių yra Sophos, Bitdefender ir Kaspersky. Tai kelia nerimą, nes rodo kenkėjiškų programų vystymąsi, specialiai skirtą antivirusų apeikimui ir privilegijų eskalavimui.
Kaip veikia EDR-killer
Paketavimas ir obfuskacija
Kenksminga programa dažnai būna pakuojama su obfuskacijos paslaugomis, tokiomis kaip HeartCrypt, siekiant išvengti parašų pagrindu veikiančio aptikimo ir automatizuotos analizės. Užpuolikai taiko kelias anti-analizės technikas ir netgi piktnaudžiauja pasirašytais tvarkyklėmis — kai kurios iš jų yra pavogtos arba kompromituotos — kad gautų patikimą vykdymą Windows aplinkoje.
„Living-off-the-land“ ir vykdomųjų failų klastojimas
Tyrėjai pastebėjo poslinkį nuo pažeidžiamų tvarkyklių diegimo prie tiesioginio teisėtų vykdomųjų failų modifikavimo. Vienu atveju užpuolikai įsišvirkštė kenkėjišką paketą į Beyond Compare Clipboard Compare įrankį, sukurdami dvejetainį failą, kuris atrodo teisėtas, bet turi kenksmingų išteklių. Šis metodas leidžia užpuolikams paruošti autentiškai atrodančius instaliatorius ar įrankius, kurie praeina pro paviršinę patikrą.
Produkto ypatybės, palyginimai ir naujo įrankio privalumai
- Daugelio tiekėjų poveikis: Skirtingai nuo ankstesnių variantų, tokių kaip EDRKillShifter, naujasis įrankis taikosi į kelias aukščiausios klasės EDR ir antivirusines platformas, taip padidindamas jo naudingumą įvairioms išpirkos grupuotėms.
- Geresnė maskuotė: pakuojimas, kodo obfuskacija ir pasirašytų komponentų naudojimas suteikia jam operacinį pranašumą prieš senesnes technikas.
- Pakartotinis naudojimas: įrankis platinamas požeminėse bendruomenėse, kas pagreitina jo diegimą ir tobulinimą tarp skirtingų grėsmių veikėjų.
Lyginant su originaliu EDRKillShifter (pirmąkart pastebėtu 2024 m. viduryje), naujausia variacija vengia pasikliauti vien tik pažeidžiamomis tvarkyklėmis ir vietoje to modifikuoja patikimus vykdomuosius failus, todėl aptikimas ir priskyrimas tampa sudėtingesni gynybos komandų atžvilgiu.
Naudojimo scenarijai ir rinkos reikšmė
Šis įrankis daugiausia taikomas prieš išpirkos programų įrašymą: pradiniam prieigai, privilegijų eskalavimui ir saugumo išjungimui. Kritinės infrastruktūros, sveikatos priežiūros, finansų sektoriaus organizacijos ir MSP ypač rizikuoja dėl didelio atlygimo užpuolikams. Kibernetinio saugumo tiekėjams ir incidentų reagavimo paslaugų teikėjams EDR-killer iškilimas pabrėžia poreikį pažangiai grėsmių žvalgybai, laiko vykdymo apsaugai ir elgesio pagrindu veikiančiam aptikimui.
Rizikos mažinimas: praktinės gynybos priemonės komandoms
- Įjunkite saugojimą nuo klastojimo: Užtikrinkite, kad galutinių taškų apsaugos produktai turėtų įjungtą tamper protection arba saviapgyną, kad būtų užkirstas kelias vietinei modifikacijai.
- Taikykite mažiausių privilegijų principą ir saugokite Windows roles: griežta paskyrų higiena ir administracinių teisių ribojimas sumažina galimybę užpuolikams eskaluoti teises.
- Laikykite sistemas ir tvarkykles atnaujintas: Microsoft pradėjo de-sertifikuoti senas pasirašytas tvarkykles; pataisos ir senų tvarkyklių pašalinimas riboja pasirašytų komponentų piktnaudžiavimą.
- Sekite neįprastus vykdomųjų failų pakeitimus ir kodo pasirašymo anomalijas: elgesio EDR, tvarkyklių vientisumo stebėjimas ir failų vientisumo kontrolės padeda aptikti klastojimą.
Pagrindinė išvada
Geresnio EDR-killer atsiradimas atskleidžia didėjantį išpirkos grupių bendradarbiavimą ir teisėtų įrankių ginklavimą. Organizacijos turėtų sutvirtinti galutinių taškų konfigūracijas, griežtinti privilegijų kontrolę ir investuoti į elgesiu grįstą aptikimą, kad išliktų priekyje nuo antivirusus apeinančių grėsmių.
Šaltinis: techradar
Komentarai