RansomHub最新勒索软件“浮出水面”,可篡改EDR软件
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
网络安全公司Sophos发现RansomHub勒索软件团伙使用新工具EDRKillShifter终止受攻击主机上的端点检测和响应软件。研究人员建议保持系统最新状态,启用EDR软件中的篡改保护功能,采取严格措施保护Windows安全角色。
🎯
关键要点
- RansomHub勒索软件团伙使用新工具EDRKillShifter终止EDR软件。
- EDRKillShifter是一个加载器可执行文件,容易被滥用。
- RansomHub是Knight勒索软件的改良版,利用已知安全漏洞获取初始访问权限。
- 该工具通过命令行执行,解密并运行基于Go的有效载荷。
- 恶意软件的语言属性为俄语,表明作者可能在俄语环境下编译。
- 研究人员建议保持系统更新,启用EDR软件的篡改保护功能。
- 区分用户和管理员权限有助于防止攻击事件的发生。
❓
延伸问答
RansomHub勒索软件的主要特征是什么?
RansomHub是Knight勒索软件的改良版,利用已知安全漏洞获取初始访问权限,并丢弃合法远程桌面软件以实现持久访问。
EDRKillShifter工具的功能是什么?
EDRKillShifter工具能够终止受攻击主机上的端点检测和响应(EDR)软件,易于被滥用。
如何防止RansomHub勒索软件的攻击?
研究人员建议保持系统更新,启用EDR软件中的篡改保护功能,并严格区分用户和管理员权限。
RansomHub勒索软件的作者可能来自哪个语言环境?
RansomHub的恶意软件语言属性为俄语,表明作者可能在俄语环境下编译。
EDRKillShifter是如何执行的?
EDRKillShifter通过命令行和密码字符串输入执行,解密并运行基于Go的有效载荷。
RansomHub如何获取初始访问权限?
RansomHub利用已知的安全漏洞获取初始访问权限。
🏷️
标签
➡️
