为了勒索软件在加密受害计算机文件的过程不受干扰，黑客试图让杀毒软件、EDR系统的运行停摆来达到目的，继研究人员披露黑客组织FIN7当地下论坛兜售名为AuKill的工具给勒索软件黑客运用，有其他黑客组织也开始打造类似的工具，并运用于实际攻击行动。

安全企业Sophos披露勒索软件黑客组织RansomHub在今年5月发起的攻击行动，黑客先利用名为EDRKillShifter的恶意程序，企图停用受害计算机上的Sophos端点防护程序未果，之后，这项工具会利用存在漏洞的旧版驱动程序，进行自带驱动程序（BYOVD）攻击手法，试图瘫痪端点防护系统，但也因此引起研究人员的注意。

根据滥用的驱动程序，EDRKillShifter大致可分成两种，其中一个是名为RentDrv2的驱动程序，另一个则是已弃用的ThreatFireMonitor。

这个恶意程序执行的过程大致如下：首先，攻击者输入密码启动EDRKillShifter，该执行文件便会解密名为BIN的文件，并于内存内执行；接着，恶意程序解压缩并执行最终有效酬载，此酬载将利用前述的驱动程序提升权限，然后企图停用正在执行的EDR处理程序及相关服务。

转载请注明：可思数据 » 勒索软件RansomHub试图通过自带驱动程序手法停用端点安全防护

免责声明：本站来源的信息均由网友自主投稿和发布、编辑整理上传，或转载于第三方平台，对此类作品本站仅提供交流平台，不为其版权负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。若有来源标注错误或侵犯了您的合法权益，请作者持权属证明与本站联系，我们将及时更正、删除，谢谢。联系邮箱：elon368@sina.com