卡巴斯基TDSSKiller工具被勒索软件RansomHub滥用来关闭EDR软件

主要观点总结

文章介绍了安全公司Malwarebytes发现的一种新的勒索软件攻击案例，即RansomHub利用卡巴斯基的TDSSKiller工具关闭目标系统的EDR服务，从而部署其他恶意工具如LaZagne来窃取登录凭据。文章还提到了TDSSKiller工具的来源和用途，以及RansomHub攻击的主要步骤和防御建议。

关键观点总结

关键观点1: RansomHub利用TDSSKiller关闭EDR服务

RansomHub使用卡巴斯基的合法工具TDSSKiller来关闭目标系统上的端点检测和响应服务（EDR），这使得它可以在系统上部署其他恶意工具。

关键观点2: RansomHub部署LaZagne窃取登录凭据

在关闭EDR服务后，RansomHub部署LaZagne工具，该工具可以提取系统上的密码，如浏览器、电子邮件客户端和数据库的密码。

关键观点3: 攻击步骤和防御建议

RansomHub的攻击步骤包括网络侦察、关闭EDR系统和部署LaZagne工具。为了防御这种攻击，安全公司建议激活EDR解决方案的防篡改保护功能，并监控TDSSKiller的执行和特定标志以帮助检测和阻止恶意活动。

免责声明