偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

RansomHub最新勒索軟件“浮出水面”,可篡改EDR軟件

安全
RansomHub似乎是 Knight 勒索軟件的改良版,最早被發(fā)現于2024年2月,可利用已知的安全漏洞獲取初始訪問權限。

據觀察,一個與 RansomHub 勒索軟件有關聯的網絡犯罪團伙使用了一種新工具,該工具能夠終止受攻擊主機上的端點檢測和響應(EDR)軟件,并加入了 AuKill(又名 AvNeutralizer)和 Terminator 等其他類似程序。

網絡安全公司Sophos將這種工具命名為EDRKillShifter,該公司是在今年5月的一次勒索軟件攻擊事件中注意到該工具的。

安全研究員 Andreas Klopsch 稱EDRKillShifter 工具是一個‘加載器’可執(zhí)行文件,一種合法驅動程序的交付機制,容易被濫用(也被稱為‘自帶易受攻擊驅動程序’或 BYOVD 工具)。根據威脅行為者的要求,它可以提供各種不同的驅動程序有效載荷。

RansomHub看起來似乎是 Knight 勒索軟件的改良版,最早被發(fā)現于2024年2月。它利用已知的安全漏洞獲取初始訪問權限,并將Atera和Splashtop等合法遠程桌面軟件丟棄以實現持久訪問。

上個月,微軟披露, Scattered Spider 電子犯罪集團已將 RansomHub 和 Qilin 等勒索軟件納入其武器庫。

該可執(zhí)行文件通過命令行和密碼字符串輸入執(zhí)行,解密名為 BIN 的嵌入式資源并在內存中執(zhí)行。BIN 資源解包并運行基于 Go 的最終混淆有效載荷,然后利用不同的易受攻擊的合法驅動程序來獲得更高的權限并解除 EDR 軟件。

二進制文件的語言屬性是俄語,這表明惡意軟件作者是在具有俄語本地化設置的計算機上編譯可執(zhí)行文件的。Klopsch 表示,所有解壓縮的 EDR 殺手都在 .data 部分嵌入了一個易受攻擊的驅動程序。

為減輕威脅,研究人員建議保持系統(tǒng)處于最新狀態(tài),并啟用 EDR 軟件中的篡改保護功能,對 Windows 安全角色采取嚴格措施。

Klopsch 認為:只有當攻擊者升級了他們所控制的權限,或者當他們可以獲得管理員權限時,這種攻擊才有可能發(fā)生。因此,將用戶和管理員權限加以區(qū)分有助于防止攻擊事件的發(fā)生。

責任編輯:趙寧寧 來源: FreeBuf
相關推薦

2021-05-11 09:38:11

勒索軟件攻擊數據泄露

2015-10-10 16:58:26

2023-10-06 23:53:29

2021-01-01 19:02:08

GPS定位欺騙網絡安全

2010-08-10 14:35:27

2011-11-03 16:31:22

GDrive云存儲

2018-05-22 17:54:31

2025-02-07 20:25:03

2015-07-08 11:06:59

2012-06-11 09:43:34

云計算

2024-03-25 13:28:48

2021-01-15 08:04:23

SolarWinds黑客惡意軟件

2015-07-13 09:31:32

2018-01-08 14:50:08

802.11ax5GWLAN

2020-07-14 13:27:50

庫克CEO蘋果

2009-04-01 08:22:41

AndroidGoogle移動OS

2010-12-01 13:46:34

卡巴斯基騰訊移動安全

2023-10-07 11:38:30

2010-04-27 21:54:42

浪潮渠道戰(zhàn)略

2011-03-31 14:44:38

萬網萬網夢工廠
點贊
收藏

51CTO技術棧公眾號