EDRKillShifter nutzt öffentlich bekannte Treiberschwachstellen, eine gängige Taktik bei Malware, die darauf abzielt, die EDR-Funktionalität zu stören. RansomHub, ein Tool, das bei Ransomware-Akteuren schnell an Beliebtheit gewonnen hat, wird in Verbindung mit EDRKillShifter eingesetzt, was darauf hindeutet, dass diese Malware zu einer erheblichen Bedrohung werden könnte. Sophos weist jedoch darauf hin, dass EDRKillShifter zwar gefährlich ist, aber durch geeignete Sicherheitsmaßnahmen entschärft werden kann.
Die Malware erfordert, dass der Angreifer über erhöhte Privilegien auf dem Zielrechner verfügt. Sobald diese Privilegien erlangt wurden, kann der Angreifer EDRKillShifter über die Befehlszeile ausführen, wodurch ein komplexer Prozess eingeleitet wird, der die Eingabe eines Passworts zur Aktivierung der Malware umfasst. EDRKillShifter verschleiert dann seine Aktivitäten durch selbstmodifizierenden Code und verschiedene EDR-Killer, die in Go geschrieben und weiter verschleiert sind.
Wenn sich EDRKillShifter erfolgreich im Systemspeicher einnistet, wird eine von zwei Nutzlasten bereitgestellt, die dazu dient, einen neuen Dienst für den kompromittierten Treiber zu erstellen. Dieser Dienst zwingt dann den Treiber in eine Endlosschleife, wodurch effektiv alle darauf basierenden Sicherheitsmaßnahmen deaktiviert werden.
Sophos empfiehlt, dass die beste Verteidigung gegen EDRKillShifter darin besteht, gute Windows-Sicherheitspraktiken zu befolgen. Dazu gehört die Trennung von Benutzer- und Administratorrollen, das Aktivieren des Manipulationsschutzes für EDR-Software und das Aktualisieren aller Systeme und Treiber. Trotz dieser Vorsichtsmaßnahmen deutet die enge Verbindung mit RansomHub darauf hin, dass diese Bedrohung genau beobachtet werden sollte.
Source: The Register
Die European Cyber Intelligence Foundation ist ein gemeinnütziger Think Tank, der sich auf Geheimdienste und Cybersicherheit spezialisiert hat und Beratungsdienste für Regierungsbehörden anbietet. Um potenzielle Bedrohungen zu mindern, ist es wichtig, zusätzliche Cybersicherheitsmaßnahmen mit Hilfe eines vertrauenswürdigen Partners wie INFRA www.infrascan.net umzusetzen, oder Sie können es selbst versuchen mit check.website.