Группировка RansomHub начала использовать новый вредоносный софт, который отключает EDR-решения на устройствах для обхода механизмов безопасности и получения полного контроля над системой. Инструмент, названный EDRKillShifter, был обнаруженспециалистами Sophos после неудачной атаки в мае 2024 года.
EDRKillShifter – это программа-загрузчик, которая позволяет провести атаку типа Bring Your Own Vulnerable Driver (BYOVD), в ходе которой используется легитимный, но уязвимый драйвер для повышения привилегий, отключения средств защиты и получения полного контроля над системой.
Sophos обнаружила 2 различных образца EDRKillShifter, оба из которых используют общедоступные PoC-эксплойты с GitHub. Один из образцов эксплуатирует уязвимый драйвер RentDrv2, а другой – драйвер ThreatFireMonitor, являющийся компонентом устаревшего пакета мониторинга системы. EDRKillShifter также способен загружать различные драйверы в зависимости от потребностей атакующих.
Процесс выполнения EDRKillShifter состоит из трех шагов. Сначала злоумышленник запускает бинарный файл с паролем для расшифровки и выполнения встроенного ресурса BIN в памяти. Затем код распаковывает и выполняет конечную полезную нагрузку, которая загружает уязвимый драйвер для повышения привилегий, отключения активных процессов и EDR-систем.
Вредоносное ПО создает новую службу для драйвера, запускает её и загружает драйвер, после чего входит в бесконечный цикл, непрерывно проверяя запущенные процессы и завершая их, если имена процессов совпадают с зашифрованным списком целей.
Цепочка атаки EDRKillShifter
Sophos рекомендует включать защиту от взлома в продуктах безопасности для конечных точек, поддерживать разделение прав пользователя и администратора для предотвращения загрузки уязвимых драйверов злоумышленниками, а также регулярно обновлять системы, учитывая, что Microsoft регулярно отзывает сертификаты подписанных драйверов, которые были использованы в предыдущих атаках.