-
-
[分享]卡巴斯基TDSSKiller工具被勒索软件RansomHub滥用来关闭EDR软件
-
发表于: 2024-9-12 18:44 1269
-
最近,安全公司Malwarebytes发现了一种新的勒索软件攻击案例。——勒索软件RansomHub通过利用卡巴斯基的TDSSKiller工具,关闭了目标系统上的端点检测和响应服务(EDR)。这种攻击方式使得RansomHub可在目标系统上部署其他恶意工具,比如本例中的LaZagne,用于窃取登录凭据。
据了解,TDSSKiller是Kaspersky开发的一款免费工具,用于扫描系统中的rootkit和bootkit(这两种类型的恶意软件非常难以检测,且可以躲避标准的安全工具)。而TDSSKiller则可以与内核级服务交互,关闭或删除服务。由于TDSSKiller是由卡巴斯基签名的合法工具,因此不会被安全解决方案标记为恶意软件。
在最近观察到的攻击案例中,RansomHub主要有以下步骤:
1. 网络侦察:RansomHub首先进行网络侦察,枚举管理员组使用命令,如“net1 group ‘Enterprise Admins’ /do”。
2. 关闭EDR系统:RansomHub使用TDSKiller工具关闭EDR系统。TDSKiller被执行从临时目录(C:\Users\<User>\AppData\Local\Temp\)使用命令“tdsskiller.exe -dcsvc MBAMService”。
3. 部署LaZagne工具:RansomHub部署LaZagne工具,用于收集凭据。LaZagne工具从系统中提取密码,如浏览器、电子邮件客户端和数据库。
这种攻击方式使得RansomHub可以在系统上部署其他恶意工具,例如LaZagne,用于窃取登录凭据。这种攻击方式还使得RansomHub可以关闭EDR系统,潜在地使得其可以在网络中进行横向移动并访问关键系统。
为了防御这种类型的攻击,安全公司Malwarebytes建议激活EDR解决方案的防篡改保护功能,以确保攻击者无法使用一些工具如TDSSKiller关闭EDR服务。另外,监控TDSSKiller的执行和“-dcsvc”标志(用于关闭或删除服务的参数)也可以帮助检测和阻止恶意活动。
编辑:左右里
资讯来源:Malwarebytes ThreatDown
转载请注明出处和本文链接
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)