EDRKillShifter maakt gebruik van openbaar bekende stuurprogrammabekwamen, een veelgebruikte tactiek onder malware die is ontworpen om de EDR-functionaliteit te verstoren. RansomHub, een tool die snel aan populariteit wint onder ransomware-actoren, wordt ingezet in combinatie met EDRKillShifter, wat wijst op het potentieel van deze malware om een aanzienlijke bedreiging te worden. Sophos merkt echter op dat hoewel EDRKillShifter gevaarlijk is, het kan worden verzacht met passende beveiligingsmaatregelen.
De malware vereist dat de aanvaller verhoogde bevoegdheden heeft op de doelmachine. Zodra deze bevoegdheden zijn verkregen, kan de aanvaller EDRKillShifter via de opdrachtregel uitvoeren, waarbij een complex proces wordt gestart dat het invoeren van een wachtwoord omvat om de malware te activeren. EDRKillShifter verbergt vervolgens zijn activiteiten met behulp van zelfmodificerende code en verschillende EDR-killers, geschreven in Go en verder verhuld.
Als EDRKillShifter zich met succes in het geheugen van het systeem nestelt, zet het een van de twee payloads in die zijn ontworpen om een nieuwe service voor de gecompromitteerde stuurprogramma te creëren. Deze service dwingt vervolgens het stuurprogramma in een eindeloze lus, waardoor effectief alle beveiligingsmaatregelen die erop vertrouwen worden uitgeschakeld.
Sophos beveelt aan dat de beste verdediging tegen EDRKillShifter het handhaven van goede Windows-beveiligingspraktijken is. Dit omvat het scheiden van gebruikers- en beheerdersrollen, het inschakelen van sabotagebescherming op EDR-software en het up-to-date houden van alle systemen en stuurprogramma’s. Ondanks deze voorzorgsmaatregelen wijst de nauwe associatie met RansomHub erop dat deze bedreiging nauwlettend in de gaten moet worden gehouden.
Source: The Register
De European Cyber Intelligence Foundation is een non-profit denktank gespecialiseerd in inlichtingen en cybersecurity en biedt adviesdiensten aan overheidsinstanties. Om potentiële bedreigingen te beperken, is het belangrijk om aanvullende cybersecuritymaatregelen te implementeren met behulp van een betrouwbare partner zoals INFRA www.infrascan.net, of je kunt zelf proberen met check.website.