RansomHub黑客组织利用TDSSKiller禁用EDR防护

摘要

RansomHub 勒索组织正在利用卡巴斯基提供的免费工具 TDSSKiller 禁用目标系统的端点检测和响应（EDR）服务。

美国网络安全公司 Malwarebytes 检测到，这款用于检测或清除已知和未知的 rootkit 的合法工具已被黑客组织滥用。

资料显示，卡巴斯基提供的 TDSSKiller 原本是一款能够扫描系统中是否存在 rootkit 和 bootkit的且免费的工具软件。

TDSSKiller 能够扫描最可能感染的区域：服务，驱动程序及引导扇区，也可用于检测可疑程序如隐藏的文件或服务。

TDSSKiller 无法检测 TDSS, Sinowal, Whistler, Phanta, Trup, Stoned 等 rootkit ，但足以探测到已知感染和恶意软件。

RansomHub 组织利用 TDSSKiller 禁用目标系统端点检测和响应（EDR）服务后，然后部署 LaZagne 凭证采集工具。

攻击者会利用命令脚本或批处理命令与批处理文件与内核级服务交互，禁用目标设备上运行的 MBAMService 服务。

MBAMService 是 Malwarebytes 反恶意软件提供的免费防护服务，因而被黑客组织利用 TDSSKiller 工具进行禁用。

RansomHub 黑客组织首先做的是使用一个动态生成的文件名（'{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe'），

然后从目录（'C:\Users\<User>\AppData\Local\Temp\' ）来执行这一操作，这一过程用户无感知也不会被杀软检测。

RansomHub黑客组织利用TDSSKiller禁用EDR防护

目标系统被攻破后，黑客会部署LaZagne工具提取各种软件数据库信息，以获得有利于在内网横向攻击的登录凭证。

大多数安全工具已将 LaZagne 工具列入恶意软件库，很显然黑客也深谙此道，因而使用 TDSSKiller 禁用安全防护。

众所周知，被禁用的 EDR 代理服务作为更先进的解决方案，能够为用户提供针对勒索软件等安全威胁的实时保护。

这是因为 EDR 服务至少部分在内核级别运行，能够监控和控制如文件访问、进程创建和网络连接等低级系统活动。

通过分析我们不难发现，这其实是RansomHub勒索组织针对Malwarebytes用户发起的十分具有针对性的攻击活动。

而对于此类针对性的网络攻击的防护方案，安全专家的建议是启用 EDR 解决方案中的防篡改保护功能防止被禁用。

同时也可以监控“-dcsvc”这一禁用或删除服务的参数及 TDSSKiller 的执行情况，也能更有效地检测和阻断恶意行为。

翻译工具：搜狗翻译

参考资料：

https://www.bleepingcomputer.com/news/security/ransomhub-ransomware-abuses-kaspersky-tdsskiller-to-disable-edr-software/