EDRKillShifter utilise des vulnérabilités de pilotes connues publiquement, une tactique courante parmi les malwares conçus pour perturber la fonctionnalité EDR. RansomHub, un outil qui a rapidement gagné en popularité parmi les acteurs des ransomwares, est déployé en conjonction avec EDRKillShifter, ce qui indique le potentiel de cette menace à devenir significative. Cependant, Sophos note que bien qu’EDRKillShifter soit dangereux, il peut être atténué avec des mesures de sécurité appropriées.
Le malware nécessite que l’attaquant ait des privilèges élevés sur la machine cible. Une fois ces privilèges obtenus, l’attaquant peut exécuter EDRKillShifter via la ligne de commande, initiant un processus complexe qui inclut la saisie d’un mot de passe pour activer le malware. EDRKillShifter obfusque ensuite ses activités en utilisant du code auto-modifiant et divers tueurs d’EDR, écrits en Go et encore plus obscurcis.
Si EDRKillShifter s’implante avec succès dans la mémoire du système, il déploie l’une des deux charges utiles conçues pour créer un nouveau service pour le pilote compromis. Ce service force ensuite le pilote à entrer dans une boucle infinie, désactivant ainsi efficacement toutes les mesures de sécurité qui en dépendent.
Sophos recommande que la meilleure défense contre EDRKillShifter consiste à maintenir de bonnes pratiques de sécurité sous Windows. Cela inclut la séparation des rôles d’utilisateur et d’administrateur, l’activation de la protection contre la falsification sur les logiciels EDR, et la mise à jour de tous les systèmes et pilotes. Malgré ces précautions, la relation étroite avec RansomHub suggère que cette menace doit être surveillée de près.
Source: The Register
La European Cyber Intelligence Foundation est un think tank à but non lucratif spécialisé dans le renseignement et la cybersécurité, offrant des services de conseil aux entités gouvernementales. Pour atténuer les menaces potentielles, il est important de mettre en œuvre des mesures supplémentaires de cybersécurité avec l’aide d’un partenaire de confiance comme INFRA www.infrascan.net, ou vous pouvez essayer vous-même en utilisant check.website.