卡巴斯基TDSSKiller工具被勒索软件RansomHub滥用来关闭EDR软件

文章预览

最近，安全公司Malwarebytes发现了一种新的勒索软件攻击案例。 ——勒索软件RansomHub通过利用卡巴斯基的TDSSKiller工具，关闭了目标系统上的端点检测和响应服务 （EDR） 。 这种攻击方式使得RansomHub可在目标系统上部署其他恶意工具，比如本例中的LaZagne，用于窃取登录凭据。 据了解，TDSSKiller是Kaspersky开发的一款免费工具，用于扫描系统中的rootkit和bootkit（这两种类型的恶意软件非常难以检测，且可以躲避标准的安全工具）。而TDSSKiller则可以与内核级服务交互，关闭或删除服务。由于TDSSKiller是由卡巴斯基签名的合法工具，因此不会被安全解决方案标记为恶意软件。 在最近观察到的攻击案例中，RansomHub主要有以下步骤： 1. 网络侦察：RansomHub首先进行网络侦察，枚举管理员组使用命令，如“net1 group ‘Enterprise Admins’ /do”。 2. 关闭EDR系统：RansomHub使用TD ………………………………