勒索软件团伙将 EDR 杀手的使用范围扩大到易受攻击的驱动之外请点击上方蓝色的【#公众号信安社群#】微信公众号一键关注!近年来,终端检测与响应(EDR)杀手已成为现代勒索软件入侵中标准且高效的武器。在启动文件加密恶意软件之前,网络犯罪分子通常会部署专门工具绕过安全软件。根据 ESET 研究发布的一份全面新报告,威胁格局已远远超出了广为人知的 BYOVD技术。攻击者现在大量使用无人驾驶方法、自定义命令行脚本和合法的反 rootkit 工具来关闭安全防御。威胁行为者发现,与其不断重写和更新勒索软件加密器以避免安全检测,不如先关闭安全软件要容易得多。EDR 杀手提供了一种高度可靠、低成本的解决方案,为攻击者提供了一个可预测的时间窗口来运行其本身就有噪声的加密负载。有趣的是,ESET 指出,勒索软件关联机构通常选择在攻击中部署哪种 EDR 杀手,而非核心的勒索软件即服务运营商。这种动态在实际中带来了巨大的工具多样性,不同联盟会根据其具体的入侵需求和技能水平混合搭配各种 EDR 杀手。虽然通过 BYOVD 利用易受攻击的内核驱动仍是主流方法,但 EDR 杀手背后的技术正在迅速扩展。ESET 研究人员目前正在追踪近 90 个实际使用的 EDR 杀手,其中 54 个依赖 BYOVD 来利用 35 个不同的易受攻击驱动。一些技术较低的攻击者依赖基本命令脚本或重启系统进入 Windows 安全模式来绕过安全措施。更先进的联盟成员将合法的反 rootkit 程序(如 GMER 和 PC Hunter)武器化。这些工具最初旨在移除深核恶意软件,但其提升权限使其成为终止活跃安全进程的理想武器。一个日益增长且危险的趋势是无人驾驶 EDR 杀手的使用。像 EDRSilencer 和 EDR-Freeze 这样的工具根本不需要与系统内核交互。相反,它们会阻止终端与安全后端之间的网络通信,或者强制 EDR 软件冻结。由于这些方法不依赖传统的驱动漏洞,网络防御者更难被发现。ESET 调查将这些工具的开发者分为三大类。首先,封闭的团队,如 Embargo、DeadLock 和 Warlock,从零开始开发自己的专有 EDR 杀手。研究人员强烈怀疑像 Warlock 这样的团体正在利用人工智能协助编写和更新他们的 EDR 杀手代码。其次,许多攻击者修改了公开可用的概念验证(PoC)代码。开放仓库提供现成型模板,攻击者可以通过更改编程语言或添加简单的代码混淆来轻松调整。终于,蓬勃发展的地下市场现提供“EDR 杀手即服务”。商业工具在暗网论坛上被积极出售给主要勒索软件团伙的关联者,并配有客户支持。由于这些工具被大量交易和共享,网络安全防御者面临着重大挑战。仅仅分析一个特定的易受攻击司机已不足以识别出具体的勒索软件团伙。随着 EDR 杀手市场的持续成熟和商业化,组织必须专注于检测安全篡改的行为迹象,而不仅仅是追踪具体的易受攻击驱动因素。
夜雨聆风
