Кибервымогатели используют TDSSKiller от Kaspersky для отключения EDR

Кибервымогатели используют TDSSKiller от Kaspersky для отключения EDR

Кибервымогатели используют TDSSKiller от Kaspersky для отключения EDR

Группировка кибервымогателей RansomHub использует легитимную утилиту «Лаборатории Касперского» — TDSSKiller. С помощью последней атакующие отключают защитные системы.

TDSSKiller в этих атаках фигурирует как первая ступень, затем, когда защитный софт уже отключён, злоумышленники устанавливают в систему жертвы LaZagne, инструмент для извлечения учётных данных.

Напомним, изначально TDSSKiller разрабатывалась для детектирования руткитов и буткитов, тем не менее функциональность утилиты имеет ценность и для киберпреступников.

Например, согласно отчёту Malwarebytes, операторы RansomHub задействуют TDSSKiller для взаимодействия со службами уровня ядра с помощью сценария командной строки или пакетного файла.

Задача — отключить службу MBAMService (Malwarebytes Anti-Malware Service), запущенную на атакованной машине.

 

TDSSKiller, как известно, запускается из временной директории — C:\Users\<User>\AppData\Local\Temp\, при этом имя файла генерируется динамически: {89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe.

У утилиты есть валидная подпись, поэтому она не вызывает подозрений у защитных решений.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вышла САКУРА 2.36: поддержка ARM и улучшения для VPN и AD

Компания «ИТ-Экспертиза» представила новый релиз системы САКУРА версии 2.36. В нём расширена поддержка платформ, улучшена работа с VPN, добавлены новые отчёты и повышена производительность.

Что нового:

  • Для всех поддерживаемых ОС теперь доступны дистрибутивы Агента САКУРА как для архитектуры x86, так и для ARM.
  • В модуле учёта рабочего времени появился отчёт «Работа пользователей по дням» — для анализа активности сотрудников по датам.
  • Расширены возможности интеграции с VPN-сервисами:
    • В CheckPoint теперь можно использовать второй фактор от САКУРА и работать без привязки к Active Directory.
    • В решениях от АМИКОН появилась возможность задавать произвольные коды ответов для настройки доступа.
  • В Astra Linux реализована цифровая подпись агента — это сделано для работы в замкнутых средах (ЗПС).
  • Улучшена защита компонентов ПК ИБ и агента от модификаций.
  • Повышена гибкость синхронизации с Active Directory — добавлены фильтры по группам и пользователям.

Оптимизация и ускорение:

  • Переработан механизм получения VPN-пользователя из сертификатов — стало надёжнее и быстрее.
  • Ускорена работа проверок с типами «Сетевой доступ» и «Актуальность обновлений ОС».
  • Сценарии действия на рабочих местах теперь исполняются быстрее.
  • При старте Агента снижена нагрузка на систему — доработана логика применения настроек по умолчанию.
  • Меньше сетевого трафика: оптимизирован способ получения настроек с сервера.
  • Для macOS уменьшено количество запросов к ОС.
  • Улучшена работа с пуш-уведомлениями в мобильном приложении.

В релиз также вошли исправления ошибок, обнаруженных в предыдущих версиях.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru