详细内容或原文请订阅后点击阅览
勒索软件工作人员不在乎您的端点安全 - 他们已经杀死了
一些自定义的恶意软件,一些合法的软件工具至少有十几个勒索软件帮派将内核级的EDR杀手纳入其恶意软件库中,从而使他们能够在市场上几乎绕过几乎每个主要的端点安全工具,升级特权,并最终窃取和加密数据,然后将受害者勒索货物范围销售范围。
来源:The Register _恶意软件至少有十二个勒索软件帮派将内核级的EDR杀手纳入其恶意软件武器库中,使他们能够绕过市场上几乎所有主要的端点安全工具,升级特权,并最终窃取和加密数据,然后将受害者勒索到支付票据中。
根据Miscreants泄漏网站的数据,自4月以来已经针对美国,欧洲和亚洲的近二十家公司部署的新鲜勒索软件的Crypto24运营商之一。
犯罪分子针对金融服务,制造业,娱乐和技术的知名公司,在获得受害者组织的初步访问之后,他们逃避检测的一种方式是使用自定义版本的Realblindingedr。
realblindingedr的自定义版本realblindingedr是一种开源工具,旨在禁用端点检测和响应产品,并且对Crypto24的自定义版本进行了编程,可从28个安全供应商的硬编码列表中禁用内核级挂钩。其中包括Sophos,Trend Micro,Kaspersky,Malwarebytes,Bitdefender,Broadcom/Symantec,Sentinelone,Cisco,Fortinet和Citrix。
该工具从驱动程序元数据中检索安全公司的名称,将其与硬编码列表进行比较,如果有匹配项,则可以禁用回调,使EDR产品毫无用处。
特定于趋势微观,其研究人员观察到攻击者部署了其自定义版本的realblindingedr和滥用gpscript.exe,这是合法的集体策略实用程序,以远程执行趋势愿景,即一个不安装的趋势,这是一种合法的故障排除工具。
,但是,他们补充说,勒索软件人员只能通过事先妥协受影响的系统获得提高(管理员)特权后才能滥用卸载者。该工具本身需要运行管理许可,并且不能滥用作为初始感染向量。”