據(jù)觀察，一個(gè)與 RansomHub 勒索軟件有關(guān)聯(lián)的網(wǎng)絡(luò)犯罪團(tuán)伙使用了一種新工具，該工具能夠終止受攻擊主機(jī)上的端點(diǎn)檢測和響應(yīng)（EDR）軟件，并加入了 AuKill（又名 AvNeutralizer）和 Terminator 等其他類似程序。

網(wǎng)絡(luò)安全公司Sophos將這種工具命名為EDRKillShifter，該公司是在今年5月的一次勒索軟件攻擊事件中注意到該工具的。

安全研究員 Andreas Klopsch 稱EDRKillShifter 工具是一個(gè)‘加載器’可執(zhí)行文件，一種合法驅(qū)動(dòng)程序的交付機(jī)制，容易被濫用（也被稱為‘自帶易受攻擊驅(qū)動(dòng)程序’或 BYOVD 工具）。根據(jù)威脅行為者的要求，它可以提供各種不同的驅(qū)動(dòng)程序有效載荷。

RansomHub看起來似乎是 Knight 勒索軟件的改良版，最早被發(fā)現(xiàn)于2024年2月。它利用已知的安全漏洞獲取初始訪問權(quán)限，并將Atera和Splashtop等合法遠(yuǎn)程桌面軟件丟棄以實(shí)現(xiàn)持久訪問。

上個(gè)月，微軟披露， Scattered Spider 電子犯罪集團(tuán)已將 RansomHub 和 Qilin 等勒索軟件納入其武器庫。

該可執(zhí)行文件通過命令行和密碼字符串輸入執(zhí)行，解密名為 BIN 的嵌入式資源并在內(nèi)存中執(zhí)行。BIN 資源解包并運(yùn)行基于 Go 的最終混淆有效載荷，然后利用不同的易受攻擊的合法驅(qū)動(dòng)程序來獲得更高的權(quán)限并解除 EDR 軟件。

二進(jìn)制文件的語言屬性是俄語，這表明惡意軟件作者是在具有俄語本地化設(shè)置的計(jì)算機(jī)上編譯可執(zhí)行文件的。Klopsch 表示，所有解壓縮的 EDR 殺手都在 .data 部分嵌入了一個(gè)易受攻擊的驅(qū)動(dòng)程序。

為減輕威脅，研究人員建議保持系統(tǒng)處于最新狀態(tài)，并啟用 EDR 軟件中的篡改保護(hù)功能，對 Windows 安全角色采取嚴(yán)格措施。

Klopsch 認(rèn)為：只有當(dāng)攻擊者升級了他們所控制的權(quán)限，或者當(dāng)他們可以獲得管理員權(quán)限時(shí)，這種攻擊才有可能發(fā)生。因此，將用戶和管理員權(quán)限加以區(qū)分有助于防止攻擊事件的發(fā)生。