EDRKillShifter マルウェア

Malware年Mezoまで

翻訳内容：

RansomHub ランサムウェアに関連するサイバー犯罪グループが、侵害されたシステム上のエンドポイント検出および対応 (EDR) ソフトウェアを無効にすることを目的とした新しいツールを展開しているのが確認されました。サイバーセキュリティの専門家は、この EDR 無効化ユーティリティを「EDRKillShifter」と名付けました。このツールは、2024 年 5 月に失敗したランサムウェア攻撃の後に発見されました。EDRKillShifter は、 AuKill (別名 AvNeutralizer) や Terminator などの他の同様のプログラムに加わりました。

EDRKillShifter は「ローダー」実行可能ファイルとして機能し、正当だが脆弱なドライバーの配信メカニズムとして機能します。このタイプのツールは、通常、「脆弱なドライバーの持ち込み」(BYOVD) として知られています。脅威アクターの目的に応じて、さまざまなドライバーペイロードを展開できます。

古くからのサイバー犯罪グループの新たな顔

Knight ランサムウェアのブランド変更版と思われるRansomHub ランサムウェアは、2024 年 2 月に出現しました。既知のセキュリティ脆弱性を悪用して初期アクセスを取得し、Atera や Splashtop などの正規のリモートデスクトップツールを展開して永続的なアクセスを維持します。先月、Microsoft は、悪名高いサイバー犯罪グループ Scattered Spider が RansomHub や Qilin などのランサムウェア系統をツールキットに追加したことを明らかにしました。

EDRKillShifterの攻撃チェーンと動作

パスワード文字列を入力してコマンドラインから実行すると、実行ファイルは BIN という埋め込みリソースを復号化し、メモリ内で直接実行します。この BIN リソースは、最終的な Go ベースの難読化されたペイロードを解凍して実行し、さまざまな脆弱な正規のドライバーを悪用して権限を昇格し、EDR ソフトウェアを無効にします。

バイナリの言語プロパティはロシア語に設定されており、マルウェアがロシア語のローカライズ設定のシステムでコンパイルされたことを示しています。解凍されたすべての EDR 無効化ツールは、.data セクション内に脆弱なドライバーを埋め込みます。

この脅威を軽減するには、システムを最新の状態に保ち、EDR ソフトウェアで改ざん防止機能を有効にし、Windows ロールの強力なセキュリティ対策を維持することが推奨されます。この攻撃は、攻撃者が権限を昇格するか管理者権限を取得できる場合にのみ実行可能です。ユーザー権限と管理者権限を明確に区別することで、攻撃者が破損したドライバーを簡単にロードするのを防ぐのに大いに役立ちます。

マルウェア感染に対するデバイスのセキュリティを強化するにはどうすればよいでしょうか?

デバイスのセキュリティを強化し、マルウェア感染から保護するために、ユーザーは次の包括的なベストプラクティスを採用することをお勧めします。

定期的なソフトウェア更新:オペレーティングシステム: 既知の脆弱性に対処して修正するために、オペレーティングシステムが最新のセキュリティパッチと更新で定期的にアップグレードされていることを確認します。アプリケーション: セキュリティと機能を維持するために、Web ブラウザー、プラグイン、その他のアプリケーションを含むすべてのインストールされているソフトウェアを定期的に更新します。

強力で一意のパスワード:パスワードの複雑さ: セキュリティを強化するために、文字、数字、記号を組み合わせた複雑なパスワードを作成します。パスワード管理: 信頼できるパスワードマネージャーを使用して、アカウントごとに一意のパスワードを生成、保存、管理することで、パスワード関連の侵害のリスクを軽減します。

2 要素認証 (2FA) : 追加のセキュリティ: 2 要素認証をサポートするすべてのアカウントとサービスに 2 要素認証を実装し、従来のパスワードを超えたセキュリティの層をもう 1 つ追加します。

マルウェア対策ソフトウェア:リアルタイム保護: リアルタイム保護を提供し、定期的にスキャンを実行して脅威を検出し、無効化する信頼できるマルウェア対策プログラムをインストールして維持します。プログラムの更新: これらのセキュリティプログラムを定期的に更新して、新しい脅威や出現する脅威を効果的に識別して対処できるようにします。

安全なブラウジングの実践:疑わしいリンクを避ける: マルウェア感染を防ぐために、見慣れないメールや疑わしいメールのリンクにアクセスしたり、添付ファイルをダウンロードしたりしないでください。Web サイトを確認する: 個人情報を入力する前に URL に HTTPS が含まれているかどうかを確認し、安全で正当な Web サイトにアクセスしていることを確認します。

定期的なバックアップ:データのバックアップ: マルウェア攻撃が発生した場合にデータ損失の可能性を最小限に抑えるために、重要なデータを独立したストレージデバイスまたはクラウドサービスに頻繁にバックアップします。

ファイアウォール構成:ネットワーク保護: ファイアウォールを使用して、受信と送信の両方のネットワークトラフィックを制御し、不正アクセスをブロックしてネットワークセキュリティを強化します。

ユーザー権限:最小権限の原則: 管理者アカウントの代わりに、通常のユーザーアカウントを使用して操作し、マルウェアがシステム操作に及ぼす潜在的な影響を制限します。別のアカウント: 日常的なアクティビティと管理タスク用に別のアカウントを保持して、権限が不正に昇格されるリスクを軽減します。

教育と意識向上:フィッシングに対する意識向上: 一般的なフィッシング手法やソーシャルエンジニアリング手法について常に情報を入手し、そのような攻撃の被害に遭う可能性を減らします。継続的なトレーニング: トレーニングや教育リソースに継続的に参加し、最新のセキュリティ脅威とベストプラクティスに関する最新情報を入手します。

これらのベストプラクティスを採用することで、ユーザーはマルウェア感染やその他のセキュリティ脅威に対する防御を大幅に強化し、システム全体のセキュリティと整合性を向上させることができます。