为了勒索软件在加密受害计算机文件的过程不受干扰,黑客试图让杀毒软件、EDR系统的运行停摆来达到目的,继研究人员披露黑客组织FIN7当地下论坛兜售名为AuKill的工具给勒索软件黑客运用,有其他黑客组织也开始打造类似的工具,并运用于实际攻击行动。
安全企业Sophos披露勒索软件黑客组织RansomHub在今年5月发起的攻击行动,黑客先利用名为EDRKillShifter的恶意程序,企图停用受害计算机上的Sophos端点防护程序未果,之后,这项工具会利用存在漏洞的旧版驱动程序,进行自带驱动程序(BYOVD)攻击手法,试图瘫痪端点防护系统,但也因此引起研究人员的注意。
根据滥用的驱动程序,EDRKillShifter大致可分成两种,其中一个是名为RentDrv2的驱动程序,另一个则是已弃用的ThreatFireMonitor。
这个恶意程序执行的过程大致如下:首先,攻击者输入密码启动EDRKillShifter,该执行文件便会解密名为BIN的文件,并于内存内执行;接着,恶意程序解压缩并执行最终有效酬载,此酬载将利用前述的驱动程序提升权限,然后企图停用正在执行的EDR处理程序及相关服务。
勒索软件RansomHub试图通过自带驱动程序手法停用端点安全防护