卡巴斯基TDSSKiller工具被勒索软件RansomHub滥用来关闭EDR软件

蒙特卡洛

最近，安全公司Malwarebytes发现了一种新的勒索软件攻击案例。——勒索软件RansomHub通过利用卡巴斯基的TDSSKiller工具，关闭了目标系统上的端点检测和响应服务（EDR）。这种攻击方式使得RansomHub可在目标系统上部署其他恶意工具，比如本例中的LaZagne，用于窃取登录凭据。


据了解，TDSSKiller是Kaspersky开发的一款免费工具，用于扫描系统中的rootkit和bootkit（这两种类型的恶意软件非常难以检测，且可以躲避标准的安全工具）。而TDSSKiller则可以与内核级服务交互，关闭或删除服务。由于TDSSKiller是由卡巴斯基签名的合法工具，因此不会被安全解决方案标记为恶意软件。

在最近观察到的攻击案例中，RansomHub主要有以下步骤：
1. 网络侦察：RansomHub首先进行网络侦察，枚举管理员组使用命令，如“net1 group ‘Enterprise Admins’ /do”。
2. 关闭EDR系统：RansomHub使用TDSKiller工具关闭EDR系统。TDSKiller被执行从临时目录（C:\Users\<User>\AppData\Local\Temp\）使用命令“tdsskiller.exe -dcsvc MBAMService”。

3. 部署LaZagne工具：RansomHub部署LaZagne工具，用于收集凭据。LaZagne工具从系统中提取密码，如浏览器、电子邮件客户端和数据库。


这种攻击方式使得RansomHub可以在系统上部署其他恶意工具，例如LaZagne，用于窃取登录凭据。这种攻击方式还使得RansomHub可以关闭EDR系统，潜在地使得其可以在网络中进行横向移动并访问关键系统。


为了防御这种类型的攻击，安全公司Malwarebytes建议激活EDR解决方案的防篡改保护功能，以确保攻击者无法使用一些工具如TDSSKiller关闭EDR服务。另外，监控TDSSKiller的执行和“-dcsvc”标志（用于关闭或删除服务的参数）也可以帮助检测和阻止恶意活动。



来自https://ti.nsfocus.com/security-news/IlOQX

wenshui1013

我感觉这种发IT咨询区比较合理

hancool

这思路可得给卡巴斯基害惨了

761773275

快進到卡巴斯基促進勒索軟件攻擊

00006666

很快就可以进microsoft易受攻击的驱动程序阻止列表了，签名拉黑

驭龙

00006666 发表于 2024-9-20 12:25
很快就可以进microsoft易受攻击的驱动程序阻止列表了，签名拉黑

火绒已经去过了，感觉卡巴也快了，只希望到时候卡巴能快一点出来

tihs

还有上次那个ThreatFire的驱动，关闭杀毒软件

pluto1313

原来TDSSKILLER还能带参数执行，下次用它来强删服务。

LeeHS

cs 阻止运行，so。。。

蒙特卡洛

pluto1313 发表于 2024-9-20 13:26
原来TDSSKILLER还能带参数执行，下次用它来强删服务。

可以把它当作一个简易版的ark工具吗