EDRKillShifter-Malware

Von Mezo in Malware

Übersetzen Sie in:

Eine mit der RansomHub-Ransomware verbundene Cybercrime-Gruppe wurde dabei beobachtet, wie sie ein neues Tool einsetzte, das darauf abzielt, Endpoint Detection and Response (EDR)-Software auf kompromittierten Systemen zu deaktivieren. Cybersicherheitsexperten haben dieses EDR-Deaktivierungsprogramm „EDRKillShifter“ genannt. Das Tool wurde nach einem fehlgeschlagenen Ransomware-Versuch im Mai 2024 entdeckt. EDRKillShifter reiht sich nun in andere ähnliche Programme ein, wie AuKill (auch bekannt als AvNeutralizer) und Terminator.

EDRKillShifter fungiert als ausführbare „Loader“-Datei und dient als Bereitstellungsmechanismus für einen legitimen, aber anfälligen Treiber. Diese Art von Tool wird normalerweise als „Bring Your Own Vulnerable Driver“ (BYOVD) bezeichnet. Abhängig von den Zielen des Bedrohungsakteurs kann es verschiedene Treibernutzlasten bereitstellen.

Inhaltsverzeichnis

Neues Gesicht einer alten Cybercrime-Gruppe

Die RansomHub-Ransomware, die vermutlich eine umbenannte Version der Knight-Ransomware ist, tauchte im Februar 2024 auf. Sie nutzt bekannte Sicherheitslücken aus, um sich ersten Zugriff zu verschaffen, und setzt legitime Remote-Desktop-Tools wie Atera und Splashtop ein, um dauerhaften Zugriff aufrechtzuerhalten. Erst letzten Monat gab Microsoft bekannt, dass die berüchtigte Cybercrime-Gruppe Scattered Spider Ransomware-Stämme wie RansomHub und Qilin zu ihrem Toolkit hinzugefügt hat.

Angriffskette und Funktionsweise von EDRKillShifter

Die ausführbare Datei wird über die Befehlszeile mit der Eingabe einer Kennwortzeichenfolge ausgeführt. Sie entschlüsselt eine eingebettete Ressource namens BIN und führt sie direkt im Speicher aus. Diese BIN-Ressource entpackt und führt eine endgültige, Go-basierte, verschleierte Nutzlast aus, die verschiedene anfällige, legitime Treiber ausnutzt, um erweiterte Berechtigungen zu erlangen und EDR-Software zu deaktivieren.

Die Spracheigenschaft der Binärdatei ist auf Russisch eingestellt, was darauf schließen lässt, dass die Malware auf einem System mit russischen Lokalisierungseinstellungen kompiliert wurde. Alle entpackten EDR-Deaktivierungstools betten einen anfälligen Treiber in den .data-Abschnitt ein.

Es wird empfohlen, Systeme auf dem neuesten Stand zu halten, Manipulationsschutz in EDR-Software zu aktivieren und strenge Sicherheitspraktiken für Windows-Rollen einzuhalten, um diese Bedrohung einzudämmen. Dieser Angriff ist nur möglich, wenn der Angreifer Berechtigungen eskalieren oder Administratorrechte erlangen kann. Eine klare Trennung zwischen Benutzer- und Administratorrechten kann enorm dazu beitragen, Angreifer daran zu hindern, beschädigte Treiber einfach zu laden.

Wie erhöhen Sie die Sicherheit Ihrer Geräte gegen Malware-Infektionen?

Um die Gerätesicherheit zu erhöhen und sich vor Malware-Infektionen zu schützen, wird den Benutzern empfohlen, die folgenden umfassenden Best Practices anzuwenden:

Regelmäßige Software-Updates: Betriebssystem: Stellen Sie sicher, dass Ihr Betriebssystem regelmäßig mit den neuesten Sicherheitspatches und -updates aktualisiert wird, um bekannte Schwachstellen zu beheben. Anwendungen: Aktualisieren Sie regelmäßig die gesamte installierte Software, einschließlich Webbrowser, Plug-Ins und anderer Anwendungen, um Sicherheit und Funktionalität aufrechtzuerhalten.

Starke und einzigartige Passwörter: Passwortkomplexität: Erstellen Sie komplexe Passwörter, die Buchstaben, Zahlen und Symbole kombinieren, um die Sicherheit zu erhöhen. Passwortverwaltung: Verwenden Sie einen bewährten Passwortmanager, um einzigartige Passwörter für jedes Konto zu generieren, zu speichern und zu verwalten und so das Risiko von Passwortverletzungen zu verringern.

Zwei-Faktor-Authentifizierung (2FA) : Zusätzliche Sicherheit: Implementieren Sie die Zwei-Faktor-Authentifizierung für alle Konten und Dienste, die diese unterstützen, und fügen Sie so eine weitere Sicherheitsebene über herkömmliche Passwörter hinaus hinzu.

Anti-Malware-Software: Echtzeitschutz: Installieren und warten Sie vertrauenswürdige Anti-Malware-Programme, die Echtzeitschutz bieten und regelmäßige Scans durchführen, um Bedrohungen zu erkennen und zu neutralisieren. Programmaktualisierungen: Aktualisieren Sie diese Sicherheitsprogramme regelmäßig, um sicherzustellen, dass sie neue und aufkommende Bedrohungen effektiv erkennen und bekämpfen können.

Sicheres Surfen: Vermeiden Sie verdächtige Links: Greifen Sie nicht auf Links zu und laden Sie keine Anhänge aus unbekannten oder verdächtigen E-Mails herunter, um Malware-Infektionen zu vermeiden. Überprüfen Sie Websites: Stellen Sie sicher, dass Sie zu sicheren und legitimen Websites navigieren, indem Sie die URL auf HTTPS überprüfen, bevor Sie private Informationen eingeben.

Regelmäßige Backups: Datensicherung: Sichern Sie wichtige Daten regelmäßig auf einem unabhängigen Speichergerät oder einem Cloud-Dienst, um den potenziellen Datenverlust im Falle eines Malware-Angriffs zu minimieren.

Firewall-Konfiguration: Netzwerkschutz: Verwenden Sie eine Firewall, um den eingehenden und ausgehenden Netzwerkverkehr zu regulieren. Blockieren Sie so unbefugten Zugriff und verbessern Sie die Netzwerksicherheit.

Benutzerrechte: Prinzip der geringsten Rechte: Verwenden Sie anstelle eines Administratorkontos ein normales Benutzerkonto, um die möglichen Auswirkungen von Malware auf den Systembetrieb zu begrenzen. Separate Konten: Verwenden Sie separate Konten für Routineaktivitäten und Verwaltungsaufgaben, um das Risiko einer unbefugten Rechteausweitung zu verringern.

Aufklärung und Bewusstsein: Phishing-Bewusstsein: Bleiben Sie über gängige Phishing-Taktiken und Social-Engineering-Taktiken informiert, um die Wahrscheinlichkeit zu verringern, Opfer solcher Angriffe zu werden. Laufende Schulung: Nehmen Sie kontinuierlich an Schulungen und Bildungsressourcen teil, um über die neuesten Sicherheitsbedrohungen und Best Practices auf dem Laufenden zu bleiben.

Durch die Umsetzung dieser Best Practices können Benutzer ihre Abwehrmaßnahmen gegen Malware-Infektionen und andere Sicherheitsbedrohungen deutlich stärken und so die allgemeine Systemsicherheit und -integrität verbessern.