最新消息:首页公告!

勒索软件RansomHub试图通过自带驱动程序手法停用端点安全防护

浏览 共有条评论 关键词:勒索软件,RansomHub
新搜索营销

勒索软件RansomHub试图通过自带驱动程序手法停用端点安全防护

为了勒索软件在加密受害计算机文件的过程不受干扰,黑客试图让杀毒软件、EDR系统的运行停摆来达到目的,继研究人员披露黑客组织FIN7当地下论坛兜售名为AuKill的工具给勒索软件黑客运用,有其他黑客组织也开始打造类似的工具,并运用于实际攻击行动。

安全企业Sophos披露勒索软件黑客组织RansomHub在今年5月发起的攻击行动,黑客先利用名为EDRKillShifter的恶意程序,企图停用受害计算机上的Sophos端点防护程序未果,之后,这项工具会利用存在漏洞的旧版驱动程序,进行自带驱动程序(BYOVD)攻击手法,试图瘫痪端点防护系统,但也因此引起研究人员的注意。

根据滥用的驱动程序,EDRKillShifter大致可分成两种,其中一个是名为RentDrv2的驱动程序,另一个则是已弃用的ThreatFireMonitor。

这个恶意程序执行的过程大致如下:首先,攻击者输入密码启动EDRKillShifter,该执行文件便会解密名为BIN的文件,并于内存内执行;接着,恶意程序解压缩并执行最终有效酬载,此酬载将利用前述的驱动程序提升权限,然后企图停用正在执行的EDR处理程序及相关服务。

勒索软件RansomHub试图通过自带驱动程序手法停用端点安全防护
勒索软件RansomHub试图通过自带驱动程序手法停用端点安全防护

转载请注明:可思数据 » 勒索软件RansomHub试图通过自带驱动程序手法停用端点安全防护

人工智能数据标注服务
留言与评论(共有 条评论)
昵称:
匿名发表 登录账号
                 
   
验证码:
后台-系统设置-扩展变量-手机广告位-手机广告位-内容广告位三