EDRKillShifter угрожает антивирусным системам

Современные угрозы кибербезопасности ставят перед бизнесом новые вызовы. Исследователи безопасности Sophos сообщили о новой и усовершенствованной версии EDRKillShifter, которая способна отключать системы обнаружения и реагирования на опасности (EDR) и антивирусные программы от таких крупных поставщиков, как Sophos, Bitdefender и Kaspersky. Этот инструмент активно используется во многих группировках вымогательства, представляя собой серьёзную угрозу.

Атаки с использованием EDRKillShifter становятся всё более изощренными благодаря применению обфускации, антианализных техник и паковочных служб, таких как HeartCrypt. В ряде случаев, вредоносное ПО внедряется в легитимные утилиты, например, в Clipboard Compare от Beyond Compare.

Новая схема использования и последствия

Оригинальная версия EDRKillShifter появилась в середине 2024 года и отличалась тем, что использовала уязвимые драйверы. Новая методика заключается в локальном модифицировании легитимных исполняемых файлов, чтобы внедрить вредоносный код или ресурсы полезной нагрузки. Это позволяет осуществлять атаку после получения доступа или при создании вредоносных пакетов, которые замаскированы под легитимные.

Особую опасность представляют случаи, когда злоумышленники используют подписанные драйверы, что значительно усложняет их обнаружение и блокировку. Это позволяет обойти систему защиты от несанкционированного доступа, ставя под угрозу кибербезопасность корпоративных систем.