专栏名称: 看雪学苑
致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号。
目录
相关文章推荐
看雪学苑  ·  新课来袭 | ... ·  5 天前  
计算机与网络安全  ·  2024年上半年网易易盾游戏安全指南 ·  4 天前  
安天集团  ·  安天AVL ... ·  5 天前  
嘶吼专业版  ·  新型 Vo1d 恶意软件感染了 130 ... ·  6 天前  
周周打板  ·  华为发酵新方向! ·  6 天前  
周周打板  ·  华为发酵新方向! ·  6 天前  
51好读  ›  专栏  ›  看雪学苑

卡巴斯基TDSSKiller工具被勒索软件RansomHub滥用来关闭EDR软件

看雪学苑  · 公众号  · 互联网安全  · 2024-09-12 17:59

正文

最近,安全公司Malwarebytes发现了一种新的勒索软件攻击案例。——勒索软件RansomHub通过利用卡巴斯基的TDSSKiller工具,关闭了目标系统上的端点检测和响应服务(EDR)这种攻击方式使得RansomHub可在目标系统上部署其他恶意工具,比如本例中的LaZagne,用于窃取登录凭据。



据了解,TDSSKiller是Kaspersky开发的一款免费工具,用于扫描系统中的rootkit和bootkit(这两种类型的恶意软件非常难以检测,且可以躲避标准的安全工具)。而TDSSKiller则可以与内核级服务交互,关闭或删除服务。由于TDSSKiller是由卡巴斯基签名的合法工具,因此不会被安全解决方案标记为恶意软件。


在最近观察到的攻击案例中,RansomHub主要有以下步骤:

1. 网络侦察:RansomHub首先进行网络侦察,枚举管理员组使用命令,如“net1 group ‘Enterprise Admins’ /do”。

2. 关闭EDR系统:RansomHub使用TDSKiller工具关闭EDR系统。TDSKiller被执行从临时目录(C:\Users\\AppData\Local\Temp\)使用命令“tdsskiller.exe -dcsvc MBAMService”。


3. 部署LaZagne工具:RansomHub部署LaZagne工具,用于收集凭据。LaZagne工具从系统中提取密码,如浏览器、电子邮件客户端和数据库。


这种攻击方式使得RansomHub可以在系统上部署其他恶意工具,例如LaZagne,用于窃取登录凭据。这种攻击方式还使得RansomHub可以关闭EDR系统,潜在地使得其可以在网络中进行横向移动并访问关键系统。

为了防御这种类型的攻击,安全公司Malwarebytes建议激活EDR解决方案的防篡改保护功能,以确保攻击者无法使用一些工具如TDSSKiller关闭EDR服务。另外,监控TDSSKiller的执行和“-dcsvc”标志(用于关闭或删除服务的参数)也可以帮助检测和阻止恶意活动。


编辑:左右里

资讯来源:Malwarebytes ThreatDown

转载请注明出处和本文链接





球分享

球点赞

球在看



“阅读原文一起来充电吧!

推荐文章
看雪学苑  ·  新课来袭 | WMBa0带你领略Android逆向的魅力!
5 天前
计算机与网络安全  ·  2024年上半年网易易盾游戏安全指南
4 天前
安天集团  ·  安天AVL SDK反病毒引擎升级通告(20240914)
5 天前
嘶吼专业版  ·  新型 Vo1d 恶意软件感染了 130 万个 Android 流媒体盒
6 天前
周周打板  ·  华为发酵新方向!
6 天前
周周打板  ·  华为发酵新方向!
6 天前
大家-腾讯新闻  ·  张鸣:太监是怎样炼成的?
7 年前
铁血网  ·  疯了!为“营救”一个台湾人,蔡英文竟敢如此【威胁】我们大陆!
7 年前
不正常人类研究中心  ·  高估了,学校也太看得起大学生了
7 年前
BioArt  ·  第三届circRNA研究论坛 | 第二轮通知
7 年前
Ayawawa  ·  晚安银河系 ▏街道也好,晚风也罢,都很甜。
7 年前
Sov5搜索   ·   小百科   ·   移动版
51好读 - 好文章就要读起来!