Nowe zagrożenie dla ochrony punktów końcowych: zaawansowane narzędzie omijające EDR i antywirusy

Przegląd: pojawienie się nowego zagrożenia dla ochrony endpointów

Eksperci ds. cyberbezpieczeństwa odkryli nowe podziemne narzędzie, które skutecznie unieszkodliwia rozwiązania do wykrywania i reagowania na zagrożenia na punktach końcowych (EDR) oraz oprogramowanie antywirusowe, zanim zostanie wdrożone oprogramowanie ransomware. Według najnowszego raportu firmy Sophos, kilka grup ransomware już korzysta z tego ulepszonego "EDR-killera", by dezaktywować zabezpieczenia czołowych producentów, takich jak Sophos, Bitdefender czy Kaspersky. To niepokojący etap rozwoju złośliwego oprogramowania, które powstało z myślą o obchodzeniu zabezpieczeń antywirusowych oraz eskalacji uprawnień.

Mechanizm działania „EDR-killera”

Paczkujące i zaciemniające techniki

Złośliwy kod jest często kompresowany i zaciemniany przy użyciu usług takich jak HeartCrypt, by uniknąć wykrycia przez systemy opierające się na sygnaturach oraz przez analizę automatyczną. Atakujący wdrażają liczne techniki antyanalizy, a dodatkowo wykorzystują podpisane sterowniki – zarówno skradzione, jak i naruszone – by zapewnić sobie zaufane uruchomienie na systemach Windows.

Wykorzystywanie legalnych składników systemu oraz modyfikowanie plików binarnych

Badacze zaobserwowali zmianę – zamiast porzucać podatne sterowniki, cyberprzestępcy coraz częściej bezpośrednio modyfikują oryginalne pliki wykonywalne. W jednym z przypadków doszło do wstrzyknięcia złośliwego kodu do narzędzia Beyond Compare’s Clipboard Compare, tworząc binarny plik wyglądający na autentyczny, lecz zawierający szkodliwe zasoby. Pozwala to hakerom tworzyć instalatory i narzędzia, które sprawiają wrażenie wiarygodnych, a w rzeczywistości omijają powierzchowną kontrolę.

Charakterystyka nowego narzędzia: cechy, porównania i przewagi

• Wpływ na wiele produktów: W odróżnieniu od wcześniejszych wersji, takich jak EDRKillShifter, najnowsze narzędzie atakuje wiele czołowych platform EDR i antywirusowych, zwiększając jego użyteczność dla różnych grup przestępczych.
• Wysoki poziom ukrycia: Sposoby pakowania, zaciemnianie kodu oraz wykorzystanie podpisanych komponentów znacząco przewyższają wcześniejsze rozwiązania pod kątem maskowania działań.
• Wielokrotność zastosowań: Narzędzie jest rozpowszechniane w podziemnych społecznościach, co przyspiesza jego adaptację i rozwój wśród cyberprzestępców.

W przeciwieństwie do pierwszego EDRKillShifter (debiutującego w połowie 2024 roku), aktualna wersja nie polega jedynie na lukach w sterownikach, lecz ingeruje w zaufane pliki wykonywalne, co znacznie utrudnia wykrycie oraz przypisanie kampanii konkretnym sprawcom.

Zastosowanie i znaczenie dla rynku

Opisywane narzędzie wykorzystywane jest głównie na wczesnych etapach ataku ransomware: podczas zdobywania pierwszego dostępu, eskalacji uprawnień i dezaktywacji zabezpieczeń. Szczególnym zagrożeniem objęte są organizacje z infrastruktury krytycznej, sektor ochrony zdrowia, finanse oraz dostawcy usług IT, ze względu na duże potencjalne zyski napastników. Dla producentów rozwiązań bezpieczeństwa i zespołów reagowania na incydenty, fala rozbudowanych EDR-killerów wskazuje na rosnące zapotrzebowanie na zaawansowaną analizę zagrożeń, monitorowanie w czasie rzeczywistym i detekcję opartą na analizie zachowania.

Rekomendacje: praktyczne sposoby obrony

• Aktywuj ochronę przed modyfikacjami: Upewnij się, że używane rozwiązania EDR/antywirus mają włączoną ochronę przed nieautoryzowaną zmianą ustawień.
• Stosuj zasadę minimalnych uprawnień i porządkuj role w Windows: Ograniczanie praw administratora i dbałość o higienę kont redukuje szanse na eskalację uprawnień przez atakujących.
• Aktualizuj systemy i sterowniki: Microsoft rozpoczął proces odejmowania ważności starszym podpisanym sterownikom; regularne łatki oraz usuwanie przestarzałych komponentów ogranicza możliwości nadużyć.
• Monitoruj nietypowe zmiany w plikach wykonywalnych i anomalie związane z podpisem kodu: Rozwiązania EDR oparte na analizie zachowania oraz systemy monitorowania integralności plików pomagają wykryć sabotaż i nieuprawnione modyfikacje.

Podsumowanie

Rosnące możliwości najnowszych narzędzi typu EDR-killer pokazują, że grupy zajmujące się ransomware coraz częściej współpracują i wykorzystują legalne narzędzia w celach ataku. Firmy i instytucje powinny wzmocnić konfigurację swoich punktów końcowych, ściśle egzekwować kontrolę uprawnień oraz inwestować w detekcję opartą na obserwacji zachowań, aby wyprzedzać zagrożenia omijające tradycyjne antywirusy.