Группировка RansomHub, которая занимается программами-вымогателями, использует легитимный инструмент от «Лаборатории Касперского» под названием TDSSKiller для отключения сервисов обнаружения и реагирования на угрозы конечных точек (EDR) в целевых системах
После отключения защиты хакерская группа внедряла инструмент LaZagne для сбора учетных данных, чтобы извлечь логины из баз данных различных приложений, что помогло перемещаться по сети.
TDSSKiller используется во вредоносных атаках
«Лаборатория Касперского» создала TDSSKiller как инструмент сканирования системы на наличие руткитов и буткитов — двух типов вредоносного ПО, которые сложно обнаружить и которые могут обходить стандартные средства безопасности.
EDR-агенты — это более продвинутые решения , которые работают, как минимум частично, на уровне ядра, поскольку они должны контролировать низкоуровневую активность системы, такую как доступ к файлам, создание процессов и сетевые соединения, обеспечивая защиту в реальном времени от угроз, таких как программы-вымогатели.
Компания Malwarebytes сообщила, что группировка RansomHub злоупотребляла TDSSKiller, взаимодействуя с сервисами на уровне ядра с помощью командного скрипта или пакетного файла, который отключал сервис Malwarebytes Anti-Malware (MBAMService), работающий на машине.
Легитимный инструмент использовался после этапов разведки и повышения привилегий и запускался из временной директории (C:\Users
Будучи легитимным инструментом, подписанным действительным сертификатом, TDSSKiller не подвергает атаку RansomHub риску быть обнаруженной или остановленной средствами безопасности.
Далее злоумышленники использовали инструмент LaZagne для попытки извлечения учетных данных, хранящихся в базах данных. В атаке, расследованной Malwarebytes, инструмент сгенерировал 60 записей файлов, которые, предположительно, содержали журналы украденных учетных данных.
Действие по удалению файла могло быть попыткой хакеров скрыть свою активность в системе.
Защита от атак с использованием TDSSKiller
Обнаружить LaZagne несложно, потому что большинство средств безопасности помечают инструмент как вредоносное ПО. Однако его активность может стать невидимой, если TDSSKiller используется для отключения защиты.
TDSSKiller находится в серой зоне, так как некоторые средства безопасности, включая Malwarebytes ThreatDown, классифицируют инструмент как программа высокого риска (RiskWare), что также может послужить предупреждением для пользователей.
Malwarebytes рекомендует активировать функцию защиты от подделки в решениях EDR, чтобы злоумышленники не могли их отключить с помощью таких инструментов, как TDSSKiller.
Кроме того, мониторинг флага -dcsvc для параметра, который отключает или удаляет сервисы, и самого выполнения TDSSKiller может помочь в обнаружении и блокировке вредоносной активности.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России