RansomHub 랜섬웨어 운영자들이 이제 BYOVD 공격에서 Endpoint Detection and Response (EDR) 보안 소프트웨어를 비활성화하는 새로운 악성코드를 배포하고 있습니다. 이 악성코드는 EDRKillShifter라고 명명되었으며, Sophos 보안 연구원들이 2024년 5월 랜섬웨어 조사 중에 발견했습니다. 이 악성코드는 대상 장치에 취약한 합법적인 드라이버를 배포하여 권한을 상승시키고, 보안 솔루션을 비활성화하며, 시스템을 제어합니다.
Sophos는 조사 과정에서 GitHub에서 사용 가능한 개념 증명 공격 두 가지를 발견했습니다. 하나는 RentDrv2라는 취약한 드라이버를 공격하고, 다른 하나는 더 이상 사용되지 않는 시스템 모니터링 패키지의 구성 요소인 ThreatFireMonitor 드라이버를 공격합니다. 또한 Sophos는 EDRKillShifter가 공격자의 필요에 따라 다양한 드라이버페이로드를 전달할 수 있다는 사실과 맬웨어의 언어 속성을 볼 때 러시아어로 번역된 컴퓨터에서 컴파일되었음을 발견했습니다.
Sophos는 엔드포인트 보안 제품에서 변조 방지 기능을 활성화하고, 사용자와 관리자 권한 사이에 분리를 유지하여 공격자가 취약한 드라이버를 로드하는 것을 방지하며, 시스템을 최신 상태로 유지하는 것을 권장합니다. 이는 Microsoft가 이전 공격에서 악용되었던 알려진 서명된 드라이버의 인증을 계속 취소하기 때문입니다.
요약
- RansomHub 랜섬웨어 운영자들이 BYOVD 공격에서 EDR 보안 소프트웨어를 비활성화하는 새로운 악성코드인 EDRKillShifter를 배포하고 있다.
- Sophos는 GitHub에서 사용 가능한 두 가지 개념 증명 공격을 발견했으며, 이들은 각각 RentDrv2와 ThreatFireMonitor라는 취약한 드라이버를 공격한다.
- EDRKillShifter는 공격자의 필요에 따라 다양한 드라이버 페이로드를 전달할 수 있으며, 러시아어로 변역된 컴퓨터에서 컴파일되었음을 나타낸다.
- Sophos는 엔드포인트 보안 제품에서 변조 방지 기능을 활성화하고, 사용자와 관리자 권한 사이에 분리를 유지하며, 시스템을 최신 상태로 유지하는 것을 권장한다.
- 이러한 조치는 Microsoft가 이전 공격에서 악용되었던 알려진 서명된 드라이버의 인증을 계속 취소하기 때문이다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.