卡巴斯基发布的 EDR 防护杀手,被勒索组织广泛使用
💡
原文中文,约1300字,阅读约需3分钟。
📝
内容提要
RansomHub勒索组织滥用卡巴斯基的TDSSKiller工具禁用EDR和Malwarebytes反恶意软件服务。建议启用EDR解决方案中的防篡改保护功能,并监控TDSSKiller的执行情况来检测和阻断恶意行为。
🎯
关键要点
- RansomHub勒索组织利用卡巴斯基的TDSSKiller工具禁用EDR服务。
- TDSSKiller是一种合法工具,用于扫描系统中的rootkit和bootkit。
- EDR代理在内核级别运行,提供实时保护以应对勒索软件威胁。
- Malwarebytes报告RansomHub使用TDSSKiller禁用其反恶意软件服务。
- TDSSKiller在攻击中使用动态生成的文件名,降低被检测风险。
- RansomHub使用LaZagne工具提取数据库中的凭据,可能生成被盗凭证的日志。
- 大多数安全工具能直接标记LaZagne为恶意软件,但TDSSKiller的使用可能掩盖其活动。
- 建议启用EDR解决方案中的防篡改保护功能,以防止安全措施被禁用。
- 监控TDSSKiller的执行情况和相关参数可以有效检测和阻断恶意行为。
🏷️
标签
➡️
