Ваш Kaspersky молчит? Проверьте — возможно, его уже отключил EDR-киллер
NewsMakerТеперь компании точно знают, на что сливают свой бюджет.
В киберпреступной среде появился новый инструмент для отключения EDR-систем , который специалисты Sophos считают развитием утилиты EDRKillShifter . Его применение уже зафиксировано в атаках 8 различных группировок, включая RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx и INC. Такие программы позволяют шифровальщикам выводить из строя защитные решения на скомпрометированных устройствах, чтобы беспрепятственно развернуть полезную нагрузку, повысить привилегии, перемещаться по сети и в итоге зашифровать данные без риска быть обнаруженными.
Новый EDR Killer представляет собой сильно обфусцированный бинарный файл, который сам себя декодирует во время выполнения и внедряется в легитимные процессы. На следующем этапе утилита ищет цифрово подписанный драйвер с украденным или просроченным сертификатом и случайным пятисимвольным названием, которое зашито в исполняемый файл. Если такой драйвер найден, он загружается в ядро, что позволяет реализовать технику «bring your own vulnerable driver» ( BYOVD ) и получить системные привилегии, необходимые для отключения защитных продуктов.
Маскируясь под легитимные компоненты, например драйвер CrowdStrike Falcon Sensor , вредоносный драйвер завершает процессы антивирусов и EDR, а также останавливает связанные с ними службы. Под удар попадают решения от Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro и Webroot. Различные версии инструмента отличаются названиями драйверов, списком целевых продуктов и характеристиками сборки, но во всех случаях используется упаковщик HeartCrypt . По данным Sophos, речь идёт не о единожды утекшем бинарнике, а о совместно разрабатываемой платформе, которую используют даже конкурирующие группировки — каждая в своей уникальной сборке.
Общая практика обмена подобными средствами в среде шифровальщиков уже известна. Помимо EDRKillShifter, Sophos ранее обнаруживала и другие утилиты этого класса, например AuKill , применявшийся Medusa Locker и LockBit. SentinelOne в прошлом году также сообщала, что группировка FIN7 продавала свой инструмент AvNeutralizer нескольким бандам, включая BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona и LockBit. Полный список индикаторов компрометации для нового EDR-киллера доступен в открытом репозитории GitHub.
В киберпреступной среде появился новый инструмент для отключения EDR-систем , который специалисты Sophos считают развитием утилиты EDRKillShifter . Его применение уже зафиксировано в атаках 8 различных группировок, включая RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx и INC. Такие программы позволяют шифровальщикам выводить из строя защитные решения на скомпрометированных устройствах, чтобы беспрепятственно развернуть полезную нагрузку, повысить привилегии, перемещаться по сети и в итоге зашифровать данные без риска быть обнаруженными.
Новый EDR Killer представляет собой сильно обфусцированный бинарный файл, который сам себя декодирует во время выполнения и внедряется в легитимные процессы. На следующем этапе утилита ищет цифрово подписанный драйвер с украденным или просроченным сертификатом и случайным пятисимвольным названием, которое зашито в исполняемый файл. Если такой драйвер найден, он загружается в ядро, что позволяет реализовать технику «bring your own vulnerable driver» ( BYOVD ) и получить системные привилегии, необходимые для отключения защитных продуктов.
Маскируясь под легитимные компоненты, например драйвер CrowdStrike Falcon Sensor , вредоносный драйвер завершает процессы антивирусов и EDR, а также останавливает связанные с ними службы. Под удар попадают решения от Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro и Webroot. Различные версии инструмента отличаются названиями драйверов, списком целевых продуктов и характеристиками сборки, но во всех случаях используется упаковщик HeartCrypt . По данным Sophos, речь идёт не о единожды утекшем бинарнике, а о совместно разрабатываемой платформе, которую используют даже конкурирующие группировки — каждая в своей уникальной сборке.
Общая практика обмена подобными средствами в среде шифровальщиков уже известна. Помимо EDRKillShifter, Sophos ранее обнаруживала и другие утилиты этого класса, например AuKill , применявшийся Medusa Locker и LockBit. SentinelOne в прошлом году также сообщала, что группировка FIN7 продавала свой инструмент AvNeutralizer нескольким бандам, включая BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona и LockBit. Полный список индикаторов компрометации для нового EDR-киллера доступен в открытом репозитории GitHub.