专门攻击EDR的勒索软件:它是什么,如何抵御?
在网络安全领域,网络安全中的 EDR(Endpoint Detection and Response,端点检测与响应)是一种主动式的端点安全解决方案,它专注于监控、检测和响应计算机和终端设备上的安全威胁。
最近,攻击者不断推陈出新,开发出各种工具来绕过安全防护措施并利用系统漏洞,其中一种名为“EDRKillShifter”的新工具的出现,揭示了网络犯罪分子与安全防御者之间不断升级的对抗态势。
EDRKillShifter 与RansomHub
Sophos 在对一次勒索软件攻击的事后分析中,发现了一种名为“EDRKillShifter”的新工具。这个工具由一个不明身份的犯罪集团使用,目的是通过 RansomHub 勒索软件感染目标组织。尽管这次攻击未能成功,但EDRKillShifter 的发现在网络安全界引起了广泛关注。
Sophos 的威胁研究员Andreas Klopsch 指出,EDRKillShifter 的目的是终止端点保护软件,这是组织用来检测和应对网络恶意活动的关键防御工具。通过禁用这些防御机制,攻击者可以在受感染的系统内更自由地活动,增加勒索软件攻击的成功率。在这次事件中,攻击者试图使用 EDRKillShifter 禁用目标机器上的 Sophos 保护,但未能成功。这一事件凸显了网络犯罪分子越来越专注于开发能够攻击EDR 防护软件的工具,逐渐成为新趋势。
EDR 杀手工具的兴起
EDRKillShifter 的出现是恶意软件越来越复杂的趋势的一部分,这些恶意软件旨在禁用 EDR 系统。自 2022 年以来,安全研究人员发现这类工具的开发和部署显著增加。例如,安全专家之前发现的另一种名为“AuKill”的 EDR 杀手工具,曾在犯罪市场上出售。现在,多种具有类似功能的工具在流通,这表明网络犯罪分子认识到了使 EDR 防护软件失效的重要性。
EDR 防护软件是现代网络安全策略的核心,它们提供实时监控、检测和响应功能,对于防御高级威胁至关重要。攻击者通过开发 EDRKillShifter 和 AuKill 等工具,旨在破坏这些防御措施,以便更容易地部署勒索软件、窃取敏感数据或破坏业务运营。
如何防范 EDR 攻击工具
面对日益复杂的 EDR 攻击工具,组织必须采取积极措施来保护其系统。安全专家在其分析中提出了以下建议,以帮助企业和个人抵御此类威胁:
1. 启用防篡改保护:防范EDRKillShifter 等工具的最有效方法之一是确保端点安全产品已启用防篡改保护。这一功能可以防止修改未经授权的安全设置,使攻击者更难禁用用户的防御。
2. 使用强大的 Windows 安全卫士:EDR 攻击工具的成功通常取决于攻击者提升权限或获取目标系统管理员权限的能力。为了降低这种风险,组织应严格区分用户和管理员权限。通过限制具有管理访问权限的用户数量,可以减少攻击者获得禁用 EDR 防护软件所需权限的可能性。
3. 保持系统更新:微软一直在积极主动解决与驱动程序滥用相关的漏洞。自 2023 年以来,该公司已推出了更新,取消了已知被攻击者利用的签名驱动程序的认证。保持系统更新可以确保用户从这些安全增强功能中受益,使攻击者更难利用已知漏洞。
通过采取这些措施,组织可以增强其网络安全防护,有效抵御 EDR 杀手勒索软件的威胁。