Аналитики Sophos недавно обнаружили новую утилиту для уничтожения EDR, которую они идентифицировали как EDRKillShifter, в неудачной атаке вымогательского ПО, совершенной преступной группой, пытавшейся использовать RansomHub.
Утилита EDR предназначена для уничтожения программного обеспечения для защиты конечных точек и представляет собой исполняемый файл-загрузчик (также известный как «принеси свой собственный уязвимый драйвер» или BYOVD), который поставляет множество различных полезных нагрузок для драйверов. Злоумышленник должен запустить EDRKillShifter с помощью командной строки, содержащей строку пароля. После запуска с правильным паролем исполняемый файл расшифровывает встроенный ресурс с именем BIN и запускает его в памяти. Код BIN распаковывает и выполняет конечную полезную нагрузку. Эта финальная полезная нагрузка, написанная на языке программирования Go, подбрасывает и эксплуатирует один из множества различных уязвимых легитимных драйверов для получения привилегий, достаточных для снятия защиты средства EDR. Конечная полезная нагрузка, встроенная в загрузчик, меняется в каждом инциденте. Sophos подозревает, что единственная цель загрузчика - развернуть конечную полезную нагрузку BYOVD.
Indicators of Compromise
SHA256
- 451f5aa55eb207e73c5ca53d249b95911d3fad6fe32eee78c58947761336cc60
- d0f9eae1776a98c77a6c6d66a3fd32cee7ee6148a7276bc899c1a1376865d9b0
