Уничтожающее антивирусы вредоносное ПО обнаружили исследователи

Исследователи из Sophos сообщили об обнаружении нового утилитарного инструмента, предназначенного для уничтожения EDR (Endpoint Detection and Response), который они назвали EDRKillShifter.
Уничтожающее антивирусы вредоносное ПО обнаружили исследователи

Уничтожающее антивирусы вредоносное ПО обнаружили исследователи. Фото: СС0

Инструмент использовался группой вымогателей, известной как RansomHub, но команда Sophos утверждает, «с умеренной уверенностью», что его используют и другие злоумышленники. Это может означать, что он был разработан третьей стороной и, возможно, предлагался для продажи (или аренды) в даркнете.

В проанализированном Sophos случае группа попыталась использовать EDRKillShifter для прекращения защиты Sophos на целевом компьютере, но инструмент не сработал. В результате шифровальщик также не сработал, и вся попытка была прекращена.

В своем анализе EDRKillShifter компания Sophos описывает его как загрузчик, который сбрасывает легитимный, но уязвимый драйвер. Это тоже не совсем новая практика, поскольку атаки «Bring Your Own Vulnerable Driver» существуют уже много лет. В этих атаках мошенники сбрасывают на целевую машину старую версию драйвера, которую операционная система принимает.

Затем они используют уязвимости, обнаруженные в этом драйвере, для развертывания вредоносного ПО.

Сообщается, что в зависимости от требований злоумышленника EDRKillShifter предоставляет различные полезные нагрузки драйверов.

Чтобы защититься от этой угрозы, в Sophos предлагают пользователям проверить, реализуют ли их продукты безопасность конечных точек и включают ли они защиту от несанкционированного доступа.

Кроме того, предприятия должны соблюдать «строгую гигиену» для ролей безопасности Windows, поскольку атака возможна только в том случае, если злоумышленник повышает контролируемые им привилегии или может получить права администратора.

Наконец, предприятия должны обновлять свои системы, поскольку Microsoft недавно начала отменять сертификацию старых подписанных драйверов.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия. 

Статьи по теме

Больше интересного

Актуальное

Пользователи Windows подверглись атаке совершенно нового вредоносного ПО
Как настроить триггер в RetailCRM
Apple запретила российским и белорусским разработчикам рекламировать приложения
Ещё…