Современные угрозы кибербезопасности ставят перед бизнесом новые вызовы. Исследователи безопасности Sophos сообщили о новой и усовершенствованной версии EDRKillShifter, которая способна отключать системы обнаружения и реагирования на опасности (EDR) и антивирусные программы от таких крупных поставщиков, как Sophos, Bitdefender и Kaspersky. Этот инструмент активно используется во многих группировках вымогательства, представляя собой серьёзную угрозу.
Атаки с использованием EDRKillShifter становятся всё более изощренными благодаря применению обфускации, антианализных техник и паковочных служб, таких как HeartCrypt. В ряде случаев, вредоносное ПО внедряется в легитимные утилиты, например, в Clipboard Compare от Beyond Compare.
Новая схема использования и последствия
Оригинальная версия EDRKillShifter появилась в середине 2024 года и отличалась тем, что использовала уязвимые драйверы. Новая методика заключается в локальном модифицировании легитимных исполняемых файлов, чтобы внедрить вредоносный код или ресурсы полезной нагрузки. Это позволяет осуществлять атаку после получения доступа или при создании вредоносных пакетов, которые замаскированы под легитимные.
Особую опасность представляют случаи, когда злоумышленники используют подписанные драйверы, что значительно усложняет их обнаружение и блокировку. Это позволяет обойти систему защиты от несанкционированного доступа, ставя под угрозу кибербезопасность корпоративных систем.
Рекомендации по защите
Для предотвращения атак эксперты Sophos рекомендуют включить систему защиты от несанкционированного доступа в используемых продуктах безопасности, соблюдать строгую гигиену ролей Windows для предотвращения эскалации привилегий, а также регулярно обновлять системы. Особенно важно отслеживать статус драйверов, так как устаревшие подписанные драйверы могут быть исключены из сертификации, что уменьшает защищенность.
Реализация данных мер позволит значительно снизить риск успешного вторжения при помощи EDRKillShifter и сохранить безопасность вашей инфраструктуры перед лицом современных угроз.
