卡巴斯基TDSSKiller工具被勒索软件RansomHub滥用来关闭EDR软件

主要观点总结

文章介绍了安全公司Malwarebytes发现的一种新的勒索软件攻击案例，即RansomHub利用卡巴斯基的TDSSKiller工具关闭目标系统的EDR服务，从而部署其他恶意工具如LaZagne来窃取登录凭据。文章还提到了TDSSKiller工具的来源和用途，以及RansomHub攻击的主要步骤和防御建议。

关键观点总结

关键观点1: RansomHub利用TDSSKiller关闭EDR服务

RansomHub使用卡巴斯基的合法工具TDSSKiller来关闭目标系统上的端点检测和响应服务（EDR），这使得它可以在系统上部署其他恶意工具。

关键观点2: RansomHub部署LaZagne窃取登录凭据

在关闭EDR服务后，RansomHub部署LaZagne工具，该工具可以提取系统上的密码，如浏览器、电子邮件客户端和数据库的密码。

关键观点3: 攻击步骤和防御建议

RansomHub的攻击步骤包括网络侦察、关闭EDR系统和部署LaZagne工具。为了防御这种攻击，安全公司建议激活EDR解决方案的防篡改保护功能，并监控TDSSKiller的执行和特定标志以帮助检测和阻止恶意活动。

文章预览

最近，安全公司Malwarebytes发现了一种新的勒索软件攻击案例。 ——勒索软件RansomHub通过利用卡巴斯基的TDSSKiller工具，关闭了目标系统上的端点检测和响应服务 （EDR） 。 这种攻击方式使得RansomHub可在目标系统上部署其他恶意工具，比如本例中的LaZagne，用于窃取登录凭据。 据了解，TDSSKiller是Kaspersky开发的一款免费工具，用于扫描系统中的rootkit和bootkit（这两种类型的恶意软件非常难以检测，且可以躲避标准的安全工具）。而TDSSKiller则可以与内核级服务交互，关闭或删除服务。由于TDSSKiller是由卡巴斯基签名的合法工具，因此不会被安全解决方案标记为恶意软件。 在最近观察到的攻击案例中，RansomHub主要有以下步骤： 1. 网络侦察：RansomHub首先进行网络侦察，枚举管理员组使用命令，如“net1 group ‘Enterprise Admins’ /do”。 2. 关闭EDR系统：RansomHub使用TD ………………………………