近期，RansomHub 勒索組織一直通過(guò)利用卡巴斯基的合法工具 TDSSKiller 來(lái)禁用目標(biāo)系統(tǒng)上的端點(diǎn)檢測(cè)和響應(yīng) (EDR) 服務(wù)。

在攻破防御系統(tǒng)后，RansomHub 又部署了 LaZagne 憑證采集工具，試圖從各種應(yīng)用程序數(shù)據(jù)庫(kù)中提取有助于在網(wǎng)絡(luò)上橫向移動(dòng)的登錄信息。

在勒索軟件攻擊中濫用 TDSSKiller

卡巴斯基創(chuàng)建的 TDSSKiller 是一種可以掃描系統(tǒng)是否存在 rootkit 和 bootkit 的工具，這兩種惡意軟件特別難以檢測(cè)，而且可以躲避標(biāo)準(zhǔn)的安全工具。

EDR代理是更先進(jìn)的解決方案，它們至少部分在內(nèi)核級(jí)別上運(yùn)行，以便監(jiān)控和控制如文件訪問、進(jìn)程創(chuàng)建和網(wǎng)絡(luò)連接等低級(jí)系統(tǒng)活動(dòng)，從而提供針對(duì)勒索軟件等威脅的實(shí)時(shí)保護(hù)。

網(wǎng)絡(luò)安全公司 Malwarebytes 報(bào)告稱，他們最近觀察到 RansomHub 勒索組織濫用 TDSSKiller，使用命令行腳本或批處理文件與內(nèi)核級(jí)服務(wù)交互，從而禁用機(jī)器上運(yùn)行的 Malwarebytes 反惡意軟件服務(wù)（MBAMService）。

TDSSKiller 支持的命令參數(shù)  來(lái)源：Malwarebytes

該合法工具是在偵察和權(quán)限升級(jí)階段之后使用的，并使用動(dòng)態(tài)生成的文件名（'{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe'）從臨時(shí)目錄（'C:\Users\<User>\AppData\Local\Temp\' ）執(zhí)行。

作為一個(gè)簽署了有效證書的合法工具，TDSSKiller 不存在 RansomHub 的攻擊被安全解決方案標(biāo)記或阻止的風(fēng)險(xiǎn)。

接下來(lái)，RansomHub 會(huì)使用 LaZagne 工具提取存儲(chǔ)在數(shù)據(jù)庫(kù)中的憑據(jù)。 在 Malwarebytes 調(diào)查的此次攻擊事件中，該工具生成了 60 次文件寫入，這些文件可能是被盜憑證的日志。刪除文件的操作可能是攻擊者試圖掩蓋其在系統(tǒng)中的活動(dòng)的結(jié)果。

防御 TDSSKiller

大多數(shù)安全工具都能直接標(biāo)記LaZagne為惡意軟件，因此檢測(cè)它并不復(fù)雜。但如果利用TDSSKiller來(lái)禁用安全防護(hù)，LaZagne的活動(dòng)就可能隱蔽起來(lái)。TDSSKiller本身處于一個(gè)灰色地帶，一些安全工具，包括Malwarebytes的ThreatDown，將其歸類為“RiskWare”，這可能向用戶暗示了潛在的風(fēng)險(xiǎn)。

為了安全起見，建議啟用EDR解決方案中的防篡改保護(hù)功能，以防止攻擊者利用類似TDSSKiller的工具來(lái)禁用安全措施。同時(shí)，通過(guò)監(jiān)控“-dcsvc”這一禁用或刪除服務(wù)的參數(shù)，以及TDSSKiller的執(zhí)行情況，可以更有效地檢測(cè)和阻斷惡意行為。