Группа вымогателей RansomHub использует TDSSKiller — легитимный инструмент от Kaspersky — для отключения систем защиты EDR (средств обнаружения и реагирования на конечных точках) на целевых устройствах.
После того как защитные механизмы отключены, RansomHub разворачивает инструмент LaZagne для сбора учетных данных, извлекая логины из различных баз данных приложений, что позволяет злоумышленникам продвигаться по сети.
Агенты EDR представляют собой более продвинутые решения, которые частично работают на уровне ядра, поскольку им необходимо контролировать низкоуровневые системные процессы, такие как доступ к файлам, создание процессов и сетевые подключения, что обеспечивает защиту в реальном времени от угроз, таких как программы-вымогатели.
Компания Malwarebytes сообщает, что недавно зафиксировала случаи, когда RansomHub использовал TDSSKiller для взаимодействия с сервисами на уровне ядра с помощью командных скриптов или пакетных файлов, которые отключали службу Malwarebytes Anti-Malware (MBAMService), работающую на зараженных машинах.
Легитимный инструмент TDSSKiller был использован после этапов разведки и повышения привилегий. Он запускался из временной директории («C:\Users\<User>\AppData\Local\Temp\») с использованием динамически сгенерированного имени файла («{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe»).
Поскольку TDSSKiller является легитимным инструментом, подписанным действующим сертификатом, его использование не вызывает тревоги у систем безопасности, что снижает вероятность остановки атаки RansomHub.
Затем группа использовала инструмент LaZagne для попытки извлечения учетных данных, хранящихся в базах данных. В атаке, расследованной Malwarebytes, LaZagne сгенерировал около 60 записей в файлах, которые, вероятно, содержали логи украденных учетных данных.
Удаление файлов могло быть попыткой злоумышленников скрыть свою активность на системе.
TDSSKiller находится в «серой зоне», поскольку некоторые средства безопасности, такие как ThreatDown от Malwarebytes, классифицируют его как «RiskWare», что может послужить сигналом для пользователей.
Специалисты по безопасности рекомендуют активировать функцию защиты от несанкционированных изменений (tamper protection) в решениях EDR, чтобы злоумышленники не могли отключать их с помощью таких инструментов, как TDSSKiller.
Кроме того, мониторинг параметра «-dcsvc», который отвечает за отключение или удаление сервисов, а также слежение за запуском самого TDSSKiller могут помочь выявить и заблокировать вредоносную активность.
Перевод статьи
После того как защитные механизмы отключены, RansomHub разворачивает инструмент LaZagne для сбора учетных данных, извлекая логины из различных баз данных приложений, что позволяет злоумышленникам продвигаться по сети.
DSSKiller используется в атаках программ-вымогателей
Kaspersky разработала TDSSKiller как инструмент для сканирования системы на наличие руткитов и буткитов — типов вредоносного ПО, которые особенно сложно обнаружить и которые могут обходить стандартные средства безопасности.Агенты EDR представляют собой более продвинутые решения, которые частично работают на уровне ядра, поскольку им необходимо контролировать низкоуровневые системные процессы, такие как доступ к файлам, создание процессов и сетевые подключения, что обеспечивает защиту в реальном времени от угроз, таких как программы-вымогатели.
Компания Malwarebytes сообщает, что недавно зафиксировала случаи, когда RansomHub использовал TDSSKiller для взаимодействия с сервисами на уровне ядра с помощью командных скриптов или пакетных файлов, которые отключали службу Malwarebytes Anti-Malware (MBAMService), работающую на зараженных машинах.
Легитимный инструмент TDSSKiller был использован после этапов разведки и повышения привилегий. Он запускался из временной директории («C:\Users\<User>\AppData\Local\Temp\») с использованием динамически сгенерированного имени файла («{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe»).
Поскольку TDSSKiller является легитимным инструментом, подписанным действующим сертификатом, его использование не вызывает тревоги у систем безопасности, что снижает вероятность остановки атаки RansomHub.
Затем группа использовала инструмент LaZagne для попытки извлечения учетных данных, хранящихся в базах данных. В атаке, расследованной Malwarebytes, LaZagne сгенерировал около 60 записей в файлах, которые, вероятно, содержали логи украденных учетных данных.
Удаление файлов могло быть попыткой злоумышленников скрыть свою активность на системе.
Защита от TDSSKiller
Обнаружение LaZagne достаточно просто, поскольку большинство средств безопасности помечают его как вредоносное ПО. Однако его активность может стать невидимой, если TDSSKiller отключит защитные механизмы.TDSSKiller находится в «серой зоне», поскольку некоторые средства безопасности, такие как ThreatDown от Malwarebytes, классифицируют его как «RiskWare», что может послужить сигналом для пользователей.
Специалисты по безопасности рекомендуют активировать функцию защиты от несанкционированных изменений (tamper protection) в решениях EDR, чтобы злоумышленники не могли отключать их с помощью таких инструментов, как TDSSKiller.
Кроме того, мониторинг параметра «-dcsvc», который отвечает за отключение или удаление сервисов, а также слежение за запуском самого TDSSKiller могут помочь выявить и заблокировать вредоносную активность.
Перевод статьи
