为了勒索软件在加密受害计算机文件的过程不受干扰，黑客试图让杀毒软件、EDR系统的运行停摆来达到目的，继研究人员披露黑客组织FIN7当地下论坛兜售名为AuKill的工具给勒索软件黑客运用，有其他黑客组织也开始打造类似的工具，并运用于实际攻击行动。

安全企业Sophos披露勒索软件黑客组织RansomHub在今年5月发起的攻击行动，黑客先利用名为EDRKillShifter的恶意程序，企图停用受害计算机上的Sophos端点防护程序未果，之后，这项工具会利用存在漏洞的旧版驱动程序，进行自带驱动程序（BYOVD）攻击手法，试图瘫痪端点防护系统，但也因此引起研究人员的注意。

根据滥用的驱动程序，EDRKillShifter大致可分成两种，其中一个是名为RentDrv2的驱动程序，另一个则是已弃用的ThreatFireMonitor。

这个恶意程序执行的过程大致如下：首先，攻击者输入密码启动EDRKillShifter，该执行文件便会解密名为BIN的文件，并于内存内执行；接着，恶意程序解压缩并执行最终有效酬载，此酬载将利用前述的驱动程序提升权限，然后企图停用正在执行的EDR处理程序及相关服务。

转载请注明：可思数据 » 勒索软件RansomHub试图通过自带驱动程序手法停用端点安全防护