近期，RansomHub 勒索組織一直通過利用卡巴斯基的合法工具 TDSSKiller 來禁用目標(biāo)系統(tǒng)上的端點檢測和響應(yīng) (EDR) 服務(wù)。

在攻破防御系統(tǒng)后，RansomHub 又部署了 LaZagne 憑證采集工具，試圖從各種應(yīng)用程序數(shù)據(jù)庫中提取有助于在網(wǎng)絡(luò)上橫向移動的登錄信息。

在勒索軟件攻擊中濫用 TDSSKiller

卡巴斯基創(chuàng)建的 TDSSKiller 是一種可以掃描系統(tǒng)是否存在 rootkit 和 bootkit 的工具，這兩種惡意軟件特別難以檢測，而且可以躲避標(biāo)準(zhǔn)的安全工具。

EDR代理是更先進的解決方案，它們至少部分在內(nèi)核級別上運行，以便監(jiān)控和控制如文件訪問、進程創(chuàng)建和網(wǎng)絡(luò)連接等低級系統(tǒng)活動，從而提供針對勒索軟件等威脅的實時保護。

網(wǎng)絡(luò)安全公司 Malwarebytes 報告稱，他們最近觀察到 RansomHub 勒索組織濫用 TDSSKiller，使用命令行腳本或批處理文件與內(nèi)核級服務(wù)交互，從而禁用機器上運行的 Malwarebytes 反惡意軟件服務(wù)（MBAMService）。

TDSSKiller 支持的命令參數(shù)  來源：Malwarebytes

該合法工具是在偵察和權(quán)限升級階段之后使用的，并使用動態(tài)生成的文件名（'{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe'）從臨時目錄（'C:\Users\<User>\AppData\Local\Temp\' ）執(zhí)行。

作為一個簽署了有效證書的合法工具，TDSSKiller 不存在 RansomHub 的攻擊被安全解決方案標(biāo)記或阻止的風(fēng)險。

接下來，RansomHub 會使用 LaZagne 工具提取存儲在數(shù)據(jù)庫中的憑據(jù)。 在 Malwarebytes 調(diào)查的此次攻擊事件中，該工具生成了 60 次文件寫入，這些文件可能是被盜憑證的日志。刪除文件的操作可能是攻擊者試圖掩蓋其在系統(tǒng)中的活動的結(jié)果。

防御 TDSSKiller

大多數(shù)安全工具都能直接標(biāo)記LaZagne為惡意軟件，因此檢測它并不復(fù)雜。但如果利用TDSSKiller來禁用安全防護，LaZagne的活動就可能隱蔽起來。TDSSKiller本身處于一個灰色地帶，一些安全工具，包括Malwarebytes的ThreatDown，將其歸類為“RiskWare”，這可能向用戶暗示了潛在的風(fēng)險。

為了安全起見，建議啟用EDR解決方案中的防篡改保護功能，以防止攻擊者利用類似TDSSKiller的工具來禁用安全措施。同時，通過監(jiān)控“-dcsvc”這一禁用或刪除服務(wù)的參數(shù)，以及TDSSKiller的執(zhí)行情況，可以更有效地檢測和阻斷惡意行為。