详细内容或原文请订阅后点击阅览
EDR 杀手解释:超越驱动程序
ESET 研究人员深入研究 EDR 杀手生态系统,揭示攻击者如何滥用易受攻击的驱动程序
来源:WeLiveSecurity _恶意软件近年来,EDR 杀手已成为现代勒索软件入侵中最常见的工具之一:攻击者获得高权限,部署此类工具来破坏保护,然后启动加密器。除了占主导地位的自带漏洞驱动程序 (BYOVD) 技术之外,我们还看到攻击者经常滥用合法的反 rootkit 实用程序或使用无驱动方法来阻止端点检测和响应 (EDR) 软件的通信或将其暂停。这些工具不仅数量充足,而且表现可预测且一致,这正是联属营销人员使用它们的原因。
在这篇博文中,我们基于 ESET 遥测和事件调查提出了对 EDR 杀手的看法。该研究基于对近 90 种在野外活跃使用的 EDR 杀手的分析和跟踪。我们的重点不只是主导大多数讨论的易受攻击的驱动程序:我们记录了附属机构如何在实际入侵中选择、调整和操作 EDR 杀手,以及这对归因和防御意味着什么。
我们解释了为什么以驱动程序为中心的分析经常会误导群体归因,展示了驱动程序重用和跨不相关代码库切换的具体案例,并强调了无人驾驶破坏以及商业化、强化工具包的增长。其结果是一幅清晰、基于证据的图片,展示了 EDR 杀手如何在现代勒索软件操作中发挥可预测的作用。
这篇博文的要点:
EDR 杀手景观
○其中 7 个是基于脚本的,并且