Кибервымогатели используют TDSSKiller от Kaspersky для отключения EDR

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.076
Репутация
11.695
Реакции
61.885
RUB
50
Группировка кибервымогателей RansomHub использует легитимную утилиту «Лаборатории Касперского» — TDSSKiller.

С помощью последней атакующие отключают защитные системы. TDSSKiller в этих атаках фигурирует как первая ступень, затем, когда защитный софт уже отключён, злоумышленники устанавливают в систему жертвы LaZagne, инструмент для извлечения учётных данных.

kaspersky-tdsskiller-screenshot.png


Напомним, изначально TDSSKiller разрабатывалась для детектирования руткитов и буткитов, тем не менее функциональность утилиты имеет ценность и для киберпреступников.

Например, согласно отчёту Malwarebytes, операторы RansomHub задействуют TDSSKiller для взаимодействия со службами уровня ядра с помощью сценария командной строки или пакетного файла. Задача — отключить службу MBAMService (Malwarebytes Anti-Malware Service), запущенную на атакованной машине.

1-command.jpg


TDSSKiller, как известно, запускается из временной директории — C:\Users\\AppData\Local\Temp\, при этом имя файла генерируется динамически: {89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe. У утилиты есть валидная подпись, поэтому она не вызывает подозрений у защитных решений.


 
  • Теги
    tdsskiller
  • Сверху Снизу