Уязвимость Qilin EDR Killer: Как злоумышленники обходят системы обнаружения и реагирования на угрозы
В последнее время злоумышленники активно используют инструменты EDR Killer, чтобы отключать или обходить системы обнаружения и реагирования на угрозы (EDR). Это значительно усложняет задачу защитников, которым приходится анализировать действия злоумышленников. Qilin EDR Killer представляет собой многоэтапную цепочку заражения, которая нацелена на системы EDR и может отключить более 300 различных драйверов EDR от几乎 всех поставщиков на рынке.
Подробности
В данной статье мы представляем подробный технический анализ вредоносной библиотеки "msimg32.dll", используемой в атаках Qilin-вымогателя. Эта библиотека представляет собой первоначальную стадию многоэтапной цепочки заражения, предназначенной для отключения местных систем обнаружения и реагирования на угрозы (EDR) на скомпрометированных системах. Мы описываем несколько техник, используемых вредоносным ПО для обхода и отключения решений EDR, включая техники SEH/VEH-обфускации, манипуляции объектами ядра и различные методы обхода API и системных вызовов.Что делать
Чтобы защититься от атак Qilin EDR Killer, организациям следует реализовать несколько мер безопасности. Во-первых, организациям следует регулярно обновлять и патчить свои системы EDR, чтобы предотвратить использование известных уязвимостей. Во-вторых, организациям следует использовать многофакторную аутентификацию (MFA) и виртуальные частные сети (VPN) для защиты доступа к своим сетям. В-третьих, организациям следует внедрить надежные механизмы мониторинга и реагирования на инциденты, чтобы оперативно обнаруживать и реагировать на потенциальные угрозы. Итог: Qilin EDR Killer представляет собой серьезную угрозу для организаций, использующих системы EDR. Чтобы защититься от подобных атак, организациям следует регулярно обновлять и патчить свои системы, использовать MFA и VPN, и внедрять надежные механизмы мониторинга и реагирования на инциденты.Источник: Cisco Talos Intelligence