- בלוג
- RansomHub משתמשת ב-TDSSKiller כדי לעצור מערכות EDR
RansomHub משתמשת ב-TDSSKiller כדי לעצור מערכות EDR
RansomHub משתמשת ב-TDSSKiller כדי לעצור מערכות EDR
פורסם ב 17-09-2024
על פי דיווח של צוות ThreatDown, קבוצת RansomHub – קבוצת האקרים המספקת שירותי כופרה (Ransomware) בתמורה לרווח כספי – משתמשת ב-TDSSKiller, כלי לאיתור והסרה של רוטקיטים (Rootkits), בכדי להשבית מערכות EDR (מערכות זיהוי ותגובה כנגד סיכונים לתחנות קצה – Endpoint Detection and Response) במחשבי קורבנותיהם.
מערכות EDR הן מערכות אשר משמשות להגנה רב-שכבתית על מערכות. ההגנה מתבצעת באמצעות שימוש ב-AI ובאמצעות ניטור ותיעוד בזמן אמת של תהליכים המתרחשים על המערכות – הן בנקודות הקצה שלהן (כלומר, פעולות בעלות קשר ישיר למשתמשים במערכת), והן בחלקים ה”פנימיים” של המערכת (למשל, תהליכי מערכת שונים, שינויים ב-registry ועוד).
כאשר מערכת ה-EDR מזהה פעילות חשודה או מסוכנת במערכת עליה היא מפקחת, היא יודעת להגיב באופן אוטומטי, לבצע ניתוח ותיעוד של התקרית ולבצע פעולות מניעה במידת הצורך.
לאחר מכן, RansomHub משתמשים ב-LaZagne, כלי לשחזור שמות-משתמשים וסיסמאות המאוכסנים על מערכת הקורבן. LaZagne מסוגלת לאסוף את הנתונים הללו ממגוון מסדי נתונים ואפליקציות על המערכת, מה שעושה אותה למסוכנת ביותר.
המתקפה שזוהתה
חברת קספרסקי יצרה את TDSSKiller בכדי לאתר ולהסיר רוטקיטים ובוטקיטים (Bootkit – רוטקיט שמיועד להשתלט על המערכת כבר משלב האתחול) – שני סוגי נוזקה (Malware) בעלי יכולת לחמוק מאמצעי אבטחה רגילים. בשביל להצליח לזהות רוטקיטים ובוטקיטים ולהסיר אותם, TDSSKiller מסוגלת ליצור אינטראקציה עם תהליכי ליבה (Kernel) של מערכת ההפעלה, לפחות באופו חלקי.
מאחר ומערכות EDR מנטרות תהליכים ליבתיים בכדי לבצע את פעולתן, גם להן יש נגיעה חלקית לליבת המערכת.
במקרה הספציפי הזה, RansomHub השתמשו ב-TDSSKiller כדי להפסיק את תהליך MBAMService, השייך לתוכנת האנטי-נוזקה (Anti-malware) של Malwarebytes. תפקידיו של תהליך זה הם סריקה ואיתור של כופרות (Ransomware),עדכונים ,של התוכנה, והגנה בזמן אמת כנגד איומים שונים. השימוש בוצע באמצעות סקריפט של שורת פקודה.
השימוש ב-TDSSKiller, בוצע מתוך תיקיה זמנית (C:\Users\<User>\AppData\Local\Temp) ובאמצעות קובץ הרצה (exe) בעל שם דינמי ({89BCFDFB-BBAF-4631-9E8C-P98AB539AC}).
הפקודה לשתק את שירות MBAMService הכילה את תג dcsvc-, אשר מטרתו היא השבתה או הסרה של שירותים:
tdsskiller.exe -dcsvc MBAMService
כעת, משהתפנתה הדרך ממכשולים, יכלו RansomHub להשתמש ב-LaZagne בכדי להשיג את שמות המשתמש והסיסמאות שהם רצו.
החקירה של ThreatDown העלתה כי למערכת הקורבן נכתבו 60 קבצים. על פי על על פי ההערכה, קבצים אלה היו קבצי Log שהכילו את הפרטים הגנובים. בנוסף, קובץ אחד נמחק, ככל הנראה במטרה להעלים ראיות לגניבת הפרטים.
כיצד ניתן להתגונן מפני מתקפה דומה?
ראשית, יש לזכור שכדי לבצע את תפקידו, TDSSKIller פועל במעין “תחום אפור” שגורם לחלק מכלי האבטחה “להתעלם” ממנו. הודות לפעולה זו ב”תחום האפור”, המתקפה הייתה אפשרית.
מומלץ לשים אותו וכלים דומים תחת פיקוח ומגבלות, ולתייג אותו בהתאם. כך, אם (וכאשר) יבוצע ניסיון להשתמש בו למטרה זדונית כלשהי, ניתן יהיה למנוע חדירה.
דרך התגוננות נוספת היא לפקח על שימוש בפקודה dcsvc- (בה השתמשו התוקפים מ-RansomHub), כך שהמערכת תתריע על כל שימוש בה וניתן יהיה לחסום אותה במקרה של מתקפה.
כמו כן, מומלץ למשתמשים במערכות EDR להפעיל את ההגנות כנגד התעסקות לא מורשית. בכך תצומצם האפשרות שגורם עויין כלשהו יצליח לעצור אותן באמצעות TDSSKiller או בכל דרך אחרת.
צריכים עזרה בהגדרות האבטחה שלכם? ב-Jetserver נשמח לסייע! צור קשר
