Eine Ransomware-Gruppe namens RansomHub hat ein neues Tool entwickelt, das darauf abzielt, Endpoint Detection and Response (EDR)-Systeme zu deaktivieren. Dieses Tool, bekannt als EDRKillShifter, stellt einen bedeutenden Fortschritt in den Taktiken dar, die von Cyberkriminellen genutzt werden, um Sicherheitsmaßnahmen zu umgehen und Ransomware-Angriffe durchzuführen.

Obwohl ein kürzlich durchgeführter Angriff mit diesem Tool abgewehrt wurde, unterstreicht die Entdeckung die anhaltende Bedrohung durch Ransomware-Gruppen und deren kontinuierliche Anpassung an Sicherheitstechnologien.

Der Aufstieg von EDRKillShifter

Analysten von Sophos entdeckten das Tool EDRKillShifter während eines versuchten Ransomware-Angriffs im Mai 2023. Während der Angriff erfolglos blieb, enthüllte die nachträgliche Analyse die Präsenz dieses neuen Werkzeugs, das speziell darauf ausgelegt ist, Endpoint-Schutzsoftware zu deaktivieren.

Das Auftauchen dieses Tools ist Teil eines breiteren Trends, der seit 2022 beobachtet wird. Malware, die darauf abzielt, EDR-Systeme zu deaktivieren, wird zunehmend ausgefeilter. Dieser Trend steht im Einklang mit der wachsenden Verbreitung von EDR-Technologien in Organisationen, die ihre Endpunkte vor Cyberbedrohungen schützen wollen.

So funktioniert EDRKillShifter

EDRKillShifter fungiert als „Loader“-Programm, das als Zustellmechanismus für einen legitimen, aber anfälligen Treiber dient. Diese Vorgehensweise, bekannt als „Bring Your Own Vulnerable Driver“ (BYOVD), ermöglicht es Angreifern, bestehende Schwachstellen in legitimer Software auszunutzen, um die erforderlichen Privilegien zu erlangen und EDR-Tools zu deaktivieren.

Der Ausführungsprozess umfasst drei Schritte:

  1. Ausführung mit Passwort: Der Angreifer startet EDRKillShifter mit einer Befehlszeile und einer speziellen Passwortzeichenfolge. Dieses Passwort ist entscheidend, um eine eingebettete Ressource namens BIN zu entschlüsseln und im Speicher auszuführen.
  2. Entpacken und Ausführen: Der BIN-Code entpackt und führt die endgültige Nutzlast in der Programmiersprache Go aus. Diese Nutzlast nutzt verschiedene anfällige Treiber aus, um die Privilegien zu erlangen, die erforderlich sind, um den EDR-Schutz zu deaktivieren.
  3. Dynamisches Laden: Die endgültige Nutzlast wird dynamisch in den Speicher geladen und ausgeführt, wodurch das EDR-System effektiv deaktiviert wird.

Technische Analyse von EDRKillShifter

Erste Schicht der Analyse

Die erste Analyse von EDRKillShifter zeigt, dass alle Proben ähnliche Versionsdaten aufweisen und der ursprüngliche Dateiname Loader.exe ist. Die Spracheinstellung der Binärdatei ist Russisch, was darauf hindeutet, dass die Malware auf einem Computer mit russischen Lokalisierungseinstellungen kompiliert wurde. Die Ausführung erfordert ein einzigartiges 64-stelliges Passwort; ohne dieses wird das Tool nicht ausgeführt.

Laden des endgültigen EDR-Killers

Die zweite Phase des Tools ist mit Techniken der selbstmodifizierenden Codeverschleierung verschleiert. Dies erschwert die Analyse, da die tatsächlichen Anweisungen erst während der Ausführung offenbart werden. Der einzige Zweck der endgültigen entschlüsselten Schicht besteht darin, die endgültige Nutzlast in den Speicher zu laden und auszuführen.

Analyse der endgültigen Nutzlast

Die analysierten endgültigen Nutzlasten waren alle in Go geschrieben und stark verschleiert, wahrscheinlich unter Verwendung von Tools wie obfuscate. Diese Verschleierung erschwert die Rückverfolgung und Analyse der Malware erheblich. Allerdings konnten Forscher mit Tools wie GoReSym wertvolle Informationen aus diesen verschleierten Proben extrahieren.

Ähnlichkeiten und Varianten

Alle analysierten Varianten des EDR-Killers betten einen anfälligen Treiber ein und nutzen ihn aus, um die erforderlichen Privilegien zu erlangen, um EDR-Systeme zu deaktivieren. Die Varianten unterscheiden sich hauptsächlich durch den spezifischen anfälligen Treiber, den sie ausnutzen. Diese Treiber sind oft legitim, haben jedoch bekannte Schwachstellen, die mit öffentlich zugänglichem Proof-of-Concept-Code ausgenutzt werden.

EDRKillShifter im Bedrohungsumfeld

Das Tool EDRKillShifter scheint Teil eines größeren Ökosystems von Malware-Tools zu sein, die im Darknet verkauft werden. Die Hauptfunktion des Loaders besteht darin, die endgültige BYOVD-Nutzlast bereitzustellen, was darauf hindeutet, dass es separat von den Nutzlasten erworben wurde, die es ausliefert.

Diese modulare Vorgehensweise ermöglicht es verschiedenen Bedrohungsakteuren, denselben Loader mit unterschiedlichen Nutzlasten zu verwenden, was die Zuordnung der Angriffe erschwert.

Die Entdeckung von EDRKillShifter unterstreicht das anhaltende Wettrüsten zwischen Cyberkriminellen und Cybersicherheitsprofis. Während Organisationen weiterhin fortschrittliche Sicherheitsmaßnahmen wie EDR-Systeme einführen, entwickeln Bedrohungsakteure zunehmend ausgeklügelte Tools, um diese Abwehrmechanismen zu umgehen.

Die Cybersicherheitsgemeinschaft muss wachsam und anpassungsfähig bleiben, indem sie eine Kombination aus technologischen Lösungen und Bedrohungsinformationen einsetzt, um diesen sich ständig weiterentwickelnden Bedrohungen einen Schritt voraus zu sein.

Der gescheiterte Angriff von RansomHub erinnert daran, wie wichtig robuste Sicherheitspraktiken und die kontinuierliche Überwachung und Analyse aufkommender Bedrohungen sind.