Експерти з кібербезпеки виявили нову загрозу – шкідливе програмне забезпечення EDRKillShifter, яке використовується операторами вимагацького ПЗ RansomHub для обходу систем захисту кінцевих точок (EDR). Ця малварь є частиною так званих BYOVD-атак (Bring Your Own Vulnerable Driver), де зловмисники використовують легітимні, але уразливі драйвери для підвищення привілеїв та відключення захисних механізмів.
Механізм дії EDRKillShifter
EDRKillShifter працює в три етапи. Спочатку зловмисник запускає бінарний файл з паролем для розшифровки вбудованого ресурсу. Потім код розпаковується і виконує фінальне корисне навантаження. На останньому етапі малварь завантажує уразливий легітимний драйвер, використовує його для підвищення привілеїв та відключає процеси і служби EDR на зараженій системі.
Особливості виявленої загрози
Дослідники компанії Sophos виявили два різних зразки EDRKillShifter під час розслідування вимагацької атаки в травні 2024 року. Обидва варіанти використовують легітимні уразливі драйвери та експлойти, доступні на GitHub. Один зразок експлуатує драйвер RentDrv2, інший – ThreatFireMonitor. Аналіз показав, що малварь була скомпільована на комп’ютері з російськомовною локалізацією.
Тактика зловмисників та методи захисту
Після завантаження уразливого драйвера, EDRKillShifter входить у нескінченний цикл, постійно перебираючи запущені процеси та завершуючи ті, чиї імена містяться в заздалегідь визначеному списку цілей. Це дозволяє зловмисникам ефективно нейтралізувати системи захисту.
Для протидії таким атакам експерти Sophos рекомендують:
- Активувати захист від несанкціонованого доступу в продуктах для захисту кінцевих точок
- Чітко розмежовувати права користувача та адміністратора
- Регулярно оновлювати системи, оскільки Microsoft періодично відкликає підписи скомпрометованих драйверів
Поява EDRKillShifter демонструє постійну еволюцію кіберзагроз та необхідність комплексного підходу до забезпечення безпеки інформаційних систем. Організаціям слід бути пильними, регулярно оновлювати захисне ПЗ та навчати персонал розпізнавати потенційні загрози. Лише постійна увага до кібербезпеки та впровадження передових практик захисту дозволять ефективно протистояти новим викликам у цифровому просторі.