Η συμμορία ransomware RansomHub χρησιμοποιεί το TDSSKiller, ένα νόμιμο εργαλείο από την Kaspersky, για να απενεργοποιήσει τις υπηρεσίες ανίχνευσης και απόκρισης τελικού σημείου (EDR) σε συστήματα-στόχους.
Μετά την κατάργηση των άμυνων, το RansomHub ανέπτυξε το εργαλείο συλλογής διαπιστευτηρίων LaZagne για την εξαγωγή συνδέσεων από διάφορες βάσεις δεδομένων εφαρμογών που θα μπορούσαν να βοηθήσουν στην πλευρική κίνηση στο δίκτυο.
Το TDSSKiller καταχράστηκε σε επιθέσεις ransomware
Η Kaspersky δημιούργησε το TDSSKiller ως εργαλείο που μπορεί να σαρώσει το σύστημα για την παρουσία rootkits και bootkits, δύο τύπων κακόβουλου λογισμικού που είναι ιδιαίτερα δύσκολο να εντοπιστούν και μπορούν να αποφύγουν τα τυπικά εργαλεία ασφαλείας.
Οι πράκτορες EDR είναι πιο προηγμένες λύσεις που λειτουργούν, τουλάχιστον εν μέρει, σε επίπεδο πυρήνα, καθώς πρέπει να παρακολουθούν και να ελέγχουν δραστηριότητες συστήματος χαμηλού επιπέδου, όπως πρόσβαση σε αρχεία, δημιουργία διεργασιών και συνδέσεις δικτύου, όλα παρέχοντας προστασία σε πραγματικό χρόνο από απειλές όπως ransomware.
Η εταιρεία κυβερνοασφάλειας Malwarebytes εκθέσεις ότι πρόσφατα παρατήρησαν το RansomHub να καταχράται το TDSSKiller για να αλληλεπιδρά με υπηρεσίες σε επίπεδο πυρήνα χρησιμοποιώντας ένα σενάριο γραμμής εντολών ή ένα αρχείο δέσμης που απενεργοποίησε την υπηρεσία Malwarebytes Anti-Malware Service (MBAMService) που εκτελείται στο μηχάνημα.
Πηγή: Malwarebytes
Το νόμιμο εργαλείο χρησιμοποιήθηκε μετά τη φάση αναγνώρισης και κλιμάκωσης προνομίων και εκτελέστηκε από έναν προσωρινό κατάλογο (‘C:\Users\
Όντας ένα νόμιμο εργαλείο υπογεγραμμένο με έγκυρο πιστοποιητικό, το TDSSKiller δεν κινδυνεύει να επισημανθεί ή να σταματήσει η επίθεση του RansomHub από λύσεις ασφαλείας.
Στη συνέχεια, το RansomHub χρησιμοποίησε το εργαλείο LaZagne σε μια προσπάθεια εξαγωγής διαπιστευτηρίων που είναι αποθηκευμένα σε βάσεις δεδομένων χρησιμοποιώντας το LaZagne. Στην επίθεση που διερεύνησε το Malwarebytes, το εργαλείο δημιούργησε 60 εγγραφές αρχείων που ήταν πιθανά αρχεία καταγραφής των κλεμμένων διαπιστευτηρίων.
Η ενέργεια για τη διαγραφή ενός αρχείου μπορεί να είναι το αποτέλεσμα της προσπάθειας του εισβολέα να καλύψει τη δραστηριότητά του στο σύστημα.
Άμυνα ενάντια στον TDSSKiller
Ο εντοπισμός του LaZagne είναι απλός, καθώς τα περισσότερα εργαλεία ασφαλείας το επισημαίνουν ως κακόβουλο. Ωστόσο, η δραστηριότητά του μπορεί να γίνει αόρατη εάν χρησιμοποιηθεί το TDSSKiller για την απενεργοποίηση των άμυνων.
Το TDSSKiller βρίσκεται σε γκρίζα περιοχή, καθώς ορισμένα εργαλεία ασφαλείας, συμπεριλαμβανομένου του ThreatDown του Malwarebytes, το χαρακτηρίζουν ως «RiskWare», το οποίο θα μπορούσε επίσης να είναι μια κόκκινη σημαία για τους χρήστες.
Η εταιρεία ασφαλείας προτείνει να ενεργοποιήσετε τη δυνατότητα προστασίας από παραβιάσεις στη λύση EDR, για να βεβαιωθείτε ότι οι εισβολείς δεν μπορούν να τις απενεργοποιήσουν με εργαλεία όπως το TDSSKiller.
Επιπλέον, η παρακολούθηση για τη σημαία ‘-dcsvc’, την παράμετρο που απενεργοποιεί ή διαγράφει τις υπηρεσίες και για την εκτέλεση του ίδιου του TDSSKiller μπορεί να βοηθήσει στον εντοπισμό και τον αποκλεισμό της κακόβουλης δραστηριότητας.
VIA: bleepingcomputer.com
