Nova ferramenta de ataque
15 de Agosto de 2024

Um grupo de cibercrime com ligações ao ransomware RansomHub tem sido observado usando uma nova ferramenta projetada para terminar o software de endpoint detection and response (EDR) em hosts comprometidos, juntando-se a outros programas similares como AuKill (também conhecido como AvNeutralizer) e Terminator.

A utilidade para "matar" o EDR foi apelidada de EDRKillShifter pela empresa de cibersegurança Sophos, que descobriu a ferramenta em conexão com um ataque de ransomware mal-sucedido em maio de 2024.

"A ferramenta EDRKillShifter é um executável 'loader' – um mecanismo de entrega para um driver legítimo que é vulnerável ao abuso (também conhecido como ferramenta 'bring your own vulnerable driver', ou BYOVD)," disse o pesquisador de segurança Andreas Klopsch.

Dependendo dos requisitos do ator de ameaça, ele pode entregar uma variedade de diferentes payloads de driver.

O RansomHub, um suspeito rebrand do ransomware Knight, surgiu em fevereiro de 2024, aproveitando falhas de segurança conhecidas para obter acesso inicial e soltar software legítimo de desktop remoto como Atera e Splashtop para acesso persistente.

No mês passado, a Microsoft revelou que o notório sindicato de e-crime conhecido como Scattered Spider incorporou cepas de ransomware como RansomHub e Qilin em seu arsenal.

Executado via linha de comando junto com uma entrada de string de senha, o executável descriptografa um recurso embutido chamado BIN e o executa na memória.

O recurso BIN descompacta e executa um payload final baseado em Go, ofuscado, que então aproveita diferentes drivers legítimos vulneráveis para ganhar privilégios elevados e desarmar o software EDR.

"A propriedade de idioma do binário é russa, indicando que o autor do malware compilou o executável em um computador com configurações de localização russa," disse Klopsch.

Todos os EDR killers descompactados embutem um driver vulnerável na seção .data.

Para mitigar a ameaça, é recomendado manter os sistemas atualizados, habilitar a proteção contra adulteração no software EDR e praticar uma higiene forte para as funções de segurança do Windows.

"Este ataque só é possível se o atacante escalar privilégios que controlam, ou se eles conseguirem obter direitos de administrador," disse Klopsch.

A separação entre privilégios de usuário e admin pode ajudar a prevenir que atacantes carreguem drivers facilmente.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...