近期,RansomHub 勒索组织一直通过利用卡巴斯基的合法工具 TDSSKiller 来禁用目标系统上的端点检测和响应 (EDR) 服务。
在攻破防御系统后,RansomHub 又部署了 LaZagne 凭证采集工具,试图从各种应用程序数据库中提取有助于在网络上横向移动的登录信息。
在勒索软件攻击中滥用 TDSSKiller
卡巴斯基创建的 TDSSKiller 是一种可以扫描系统是否存在 rootkit 和 bootkit 的工具,这两种恶意软件特别难以检测,而且可以躲避标准的安全工具。
EDR代理是更先进的解决方案,它们至少部分在内核级别上运行,以便监控和控制如文件访问、进程创建和网络连接等低级系统活动,从而提供针对勒索软件等威胁的实时保护。
网络安全公司 Malwarebytes 报告称,他们最近观察到 RansomHub 勒索组织滥用 TDSSKiller,使用命令行脚本或批处理文件与内核级服务交互,从而禁用机器上运行的 Malwarebytes 反恶意软件服务(MBAMService)。
TDSSKiller 支持的命令参数 来源:Malwarebytes
该合法工具是在侦察和权限升级阶段之后使用的,并使用动态生成的文件名('{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe')从临时目录('C:\Users\<User>\AppData\Local\Temp\' )执行。
作为一个签署了有效证书的合法工具,TDSSKiller 不存在 RansomHub 的攻击被安全解决方案标记或阻止的风险。
接下来,RansomHub 会使用 LaZagne 工具提取存储在数据库中的凭据。 在 Malwarebytes 调查的此次攻击事件中,该工具生成了 60 次文件写入,这些文件可能是被盗凭证的日志。删除文件的操作可能是攻击者试图掩盖其在系统中的活动的结果。
防御 TDSSKiller
大多数安全工具都能直接标记LaZagne为恶意软件,因此检测它并不复杂。但如果利用TDSSKiller来禁用安全防护,LaZagne的活动就可能隐蔽起来。TDSSKiller本身处于一个灰色地带,一些安全工具,包括Malwarebytes的ThreatDown,将其归类为“RiskWare”,这可能向用户暗示了潜在的风险。
为了安全起见,建议启用EDR解决方案中的防篡改保护功能,以防止攻击者利用类似TDSSKiller的工具来禁用安全措施。同时,通过监控“-dcsvc”这一禁用或删除服务的参数,以及TDSSKiller的执行情况,可以更有效地检测和阻断恶意行为。
参考来源:RansomHub ransomware abuses Kaspersky TDSSKiller to disable EDR software