EDRKillShifter utilizza vulnerabilità dei driver conosciute pubblicamente, una tattica comune tra i malware progettati per interrompere la funzionalità EDR. RansomHub, uno strumento che ha rapidamente guadagnato popolarità tra gli attori ransomware, viene utilizzato insieme a EDRKillShifter, segnalando il potenziale di questo malware di diventare una minaccia significativa. Tuttavia, Sophos osserva che sebbene EDRKillShifter sia pericoloso, può essere mitigato con misure di sicurezza appropriate.
Il malware richiede che l’attaccante abbia privilegi elevati sulla macchina bersaglio. Una volta ottenuti questi privilegi, l’attaccante può eseguire EDRKillShifter tramite la riga di comando, avviando un processo complesso che include l’inserimento di una password per attivare il malware. EDRKillShifter quindi offusca le sue attività utilizzando codice auto-modificante e vari EDR killer, scritti in Go e ulteriormente offuscati.
Se EDRKillShifter si installa con successo nella memoria del sistema, distribuisce uno dei due payload progettati per creare un nuovo servizio per il driver compromesso. Questo servizio costringe quindi il driver in un ciclo infinito, disabilitando efficacemente qualsiasi misura di sicurezza che si basi su di esso.
Sophos raccomanda che la migliore difesa contro EDRKillShifter sia mantenere buone pratiche di sicurezza su Windows. Ciò include la separazione dei ruoli di utente e amministratore, l’abilitazione della protezione anti-manomissione sul software EDR e il mantenimento di tutti i sistemi e driver aggiornati. Nonostante queste precauzioni, la stretta associazione con RansomHub suggerisce che questa minaccia debba essere monitorata con attenzione.
Source: The Register
La European Cyber Intelligence Foundation è un think tank no-profit specializzato in intelligence e sicurezza informatica, che offre servizi di consulenza agli enti governativi. Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net, oppure puoi provare tu stesso utilizzando check.website.