舊版鑑識軟體元件遭濫用,駭客以此打造能癱瘓EDR運作的工具,從事勒索軟體攻擊活動
攻擊手法與技術細節
駭客利用已註銷的EnCase資安鑑識工具元件,開發出一種能癱瘓端點檢測與響應(EDR)系統的惡意工具。該工具為64位元的二進位檔案,偽裝成韌體更新工具,可識別59種資安防護工具的處理程序,一旦發現,便在作業系統核心層級直接執行攻擊,導致EDR系統無法正常運作。
攻擊目的與影響
此類攻擊主要目的是為了避免攻擊流程被端點防護工具阻斷,駭客透過自帶驅動程式(BYOVD)攻擊方式,繞過防毒與EDR系統的監控,進而執行勒索軟體攻擊活動,對組織的資料安全造成嚴重威脅。
相關事件與報導
- iThome新聞報導指出,威脅情報公司Huntress揭露此類資安事故,駭客濫用舊版鑑識軟體元件,打造EDR殺手工具,從事勒索軟體攻擊活動。
- BleepingComputer指出,EDR殺手工具是專門設計用於繞過或禁用EDR工具的惡意軟體,其運作機制涉及對系統核心層級的直接幹預。
- 資安新聞週報提及,中國駭客組織Ref7707亦曾濫用已被註銷的鑑識軟體元件,擴大攻擊範圍至歐洲地區。