- 19,654
- 44
- 8 Ноя 2022
Теперь компании точно знают, на что сливают свой бюджет.
В киберпреступной среде появился новый инструмент для отключения Для просмотра ссылки Войдиили Зарегистрируйся , который специалисты Sophos считают развитием утилиты Для просмотра ссылки Войди или Зарегистрируйся . Его применение уже зафиксировано в атаках 8 различных группировок, включая RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx и INC. Такие программы позволяют шифровальщикам выводить из строя защитные решения на скомпрометированных устройствах, чтобы беспрепятственно развернуть полезную нагрузку, повысить привилегии, перемещаться по сети и в итоге зашифровать данные без риска быть обнаруженными.
Новый EDR Killer представляет собой сильно обфусцированный бинарный файл, который сам себя декодирует во время выполнения и внедряется в легитимные процессы. На следующем этапе утилита ищет цифрово подписанный драйвер с украденным или просроченным сертификатом и случайным пятисимвольным названием, которое зашито в исполняемый файл. Если такой драйвер найден, он загружается в ядро, что позволяет реализовать технику «bring your own vulnerable driver» ( Для просмотра ссылки Войдиили Зарегистрируйся ) и получить системные привилегии, необходимые для отключения защитных продуктов.
Маскируясь под легитимные компоненты, например драйвер Для просмотра ссылки Войдиили Зарегистрируйся , вредоносный драйвер завершает процессы антивирусов и EDR, а также останавливает связанные с ними службы. Под удар попадают решения от Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro и Webroot. Различные версии инструмента отличаются названиями драйверов, списком целевых продуктов и характеристиками сборки, но во всех случаях используется упаковщик Для просмотра ссылки Войди или Зарегистрируйся . По данным Sophos, речь идёт не о единожды утекшем бинарнике, а о совместно разрабатываемой платформе, которую используют даже конкурирующие группировки — каждая в своей уникальной сборке.
Общая практика обмена подобными средствами в среде шифровальщиков уже известна. Помимо EDRKillShifter, Sophos ранее обнаруживала и другие утилиты этого класса, например Для просмотра ссылки Войдиили Зарегистрируйся , применявшийся Medusa Locker и LockBit. SentinelOne в прошлом году также сообщала, что группировка FIN7 продавала свой инструмент Для просмотра ссылки Войди или Зарегистрируйся нескольким бандам, включая BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona и LockBit. Полный список индикаторов компрометации для нового EDR-киллера доступен в открытом Для просмотра ссылки Войди или Зарегистрируйся GitHub.
В киберпреступной среде появился новый инструмент для отключения Для просмотра ссылки Войди
Новый EDR Killer представляет собой сильно обфусцированный бинарный файл, который сам себя декодирует во время выполнения и внедряется в легитимные процессы. На следующем этапе утилита ищет цифрово подписанный драйвер с украденным или просроченным сертификатом и случайным пятисимвольным названием, которое зашито в исполняемый файл. Если такой драйвер найден, он загружается в ядро, что позволяет реализовать технику «bring your own vulnerable driver» ( Для просмотра ссылки Войди
Маскируясь под легитимные компоненты, например драйвер Для просмотра ссылки Войди
Общая практика обмена подобными средствами в среде шифровальщиков уже известна. Помимо EDRKillShifter, Sophos ранее обнаруживала и другие утилиты этого класса, например Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
