Băng nhóm ransomware lạm dụng trình điều khiển Process Explorer để tiêu diệt phần mềm bảo mật

Những kẻ đe dọa sử dụng một công cụ hack mới có tên là AuKill để vô hiệu hóa Phần mềm phát hiện và phản hồi điểm cuối (EDR) trên hệ thống của mục tiêu trước khi triển khai các cửa hậu và phần mềm tống tiền trong các cuộc tấn công Mang trình điều khiển dễ bị tổn thương của riêng bạn (BYOVD).

Trong các cuộc tấn công như vậy, các tác nhân độc hại loại bỏ các trình điều khiển hợp pháp được ký bằng chứng chỉ hợp lệ và có khả năng chạy với các đặc quyền hạt nhân trên thiết bị của nạn nhân để vô hiệu hóa các giải pháp bảo mật và chiếm lấy hệ thống.

Kỹ thuật này phổ biến trong số các tác nhân đe dọa khác nhau, từ  các nhóm hack được nhà nước hậu thuẫn cho đến các băng nhóm ransomware  có động cơ tài chính  .

Phần mềm độc hại AuKill, lần đầu tiên được phát hiện bởi các nhà nghiên cứu bảo mật Sophos X-Ops, bỏ một trình điều khiển Windows dễ bị tổn thương (procexp.sys) bên cạnh trình điều khiển được sử dụng bởi Microsoft's Process Explorer v16.32. Đây là một tiện ích rất phổ biến và hợp pháp giúp thu thập thông tin về các quy trình đang hoạt động của Windows.

Để nâng cấp đặc quyền, trước tiên, nó kiểm tra xem nó đã chạy với đặc quyền HỆ THỐNG chưa và nếu không, nó mạo danh dịch vụ TrustedInstaller Windows Modules Installer để leo thang lên HỆ THỐNG.

Để vô hiệu hóa phần mềm bảo mật, AuKill bắt đầu một số luồng để liên tục thăm dò và vô hiệu hóa các quy trình và dịch vụ bảo mật (đồng thời đảm bảo chúng vẫn bị vô hiệu hóa bằng cách ngăn không cho chúng khởi động lại).

Cho đến nay, nhiều phiên bản AuKill đã được phát hiện trong tự nhiên, một số được triển khai trong ít nhất ba sự cố riêng biệt dẫn đến lây nhiễm mã độc tống tiền Medusa Locker và LockBit kể từ đầu năm.

“Công cụ này đã được sử dụng trong ít nhất ba sự cố ransomware kể từ đầu năm 2023 để phá hoại khả năng bảo vệ của mục tiêu và triển khai ransomware,” Sophos X-Ops cho  biết .

"Vào tháng 1 và tháng 2, những kẻ tấn công đã triển khai mã độc tống tiền Medusa Locker sau khi sử dụng công cụ này; vào tháng 2, kẻ tấn công đã sử dụng AuKill ngay trước khi triển khai mã độc tống tiền Lockbit."

Dòng thời gian AuKill

​AuKill tương tự như một công cụ nguồn mở có tên là  Backstab , cũng sử dụng trình điều khiển Process Explorer để vô hiệu hóa các giải pháp bảo mật chạy trên các thiết bị bị xâm nhập.

Backstab trước đây đã  được nhóm LockBit triển khai  trong ít nhất một cuộc tấn công được Sophos X-Ops quan sát thấy trong khi phân tích phiên bản phần mềm độc hại mới nhất của nhóm tội phạm mạng, LockBit 3.0 hoặc LockBit Black

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.