回到首頁
個人.家庭.數位化 - 數位之牆



產業動態 Sophos發現BlackByte勒索軟體使用了複雜的自帶驅動程式技術
Wordtech 本新聞稿發佈於2022/10/05,由發布之企業承擔內容之立場與責任,與本站無關

Sophos 是新一代網路安全的全球領導者,今天宣布勒索軟體後起之秀 BlackByte 使用了一項複雜的「自帶驅動程式」技術,用以繞過 1,000 個業界端點偵測和回應 (EDR) 產品使用驅動程式。Sophos 在《刪除所有回呼─BlackByte 勒索軟體透過濫用 RTCore64.sys 停用 EDR》這份報告中詳細介紹了它的攻擊策略、技術和程序 (TTP)。

 
■ 發布/輪播新聞稿 新聞稿直達14萬電子報訂戶刊登新聞稿:按此 想在你的Blog上輪播產業動態按此
 
BlackByte 在今年稍早被美國特勤局和 FBI 列為對關鍵基礎設施的威脅,短暫消失後於 5 月捲土重來,伴隨著新的資料外洩網站和新的勒索手法。現在,看來該組織也採用了新的攻擊方法。具體來說,BlackByte 一直是濫用 Windows 系統的圖形公用程式驅動程式 RTCorec6.sys 中的一個漏洞。這個特定的漏洞讓他們可以直接與目標系統的核心通訊,命令系統停用 EDR 供應商及 ETW (Windows 事件追蹤) Microsoft-Windows-Threat-Intelligence-Provider 使用的回呼常式。EDR 廠商經常使用這個功能來監控常見被惡意濫用的 API 呼叫;一旦被停用,則依賴此功能的 EDR 廠商將無計可施。

Sophos 威脅研究資深經理 Christopher Budd 表示:「如果您將電腦視為堡壘,那麼對於許多 EDR 廠商而言,ETW 就是大門的守衛。如果守衛倒下,那麼系統的其餘部分就會變得非常脆弱。而且,由於 ETW 廣為許多不同的廠商使用,所以一旦使用 EDR 繞過,BlackByte 可以攻擊的目標就會非常多。」

BlackByte 並不是唯一一個利用「自帶驅動程式」繞過安全產品的勒索軟體。AvosLocker 同樣在 5 月 時濫用不同驅動程式中的漏洞來停用防毒解決方案。

Budd 說:「有趣的是,就我們在這個領域所看到的,EDR 繞過似乎正成為勒索軟體威脅團體間一項很熱門的技術。這並不奇怪,因為威脅行為者通常會利用「進攻性安全」(保護電腦、網路和個人免受攻擊的主動和對抗性方法) 業界開發的工具和技術,以求更快、更輕鬆地發起攻擊。事實上,BlackByte 似乎至少從開源工具 EDRSandblast 中取用了部分 EDR 繞過的方法。

「由於犯罪分子會利用進攻性安全業界的成果,因此防禦人員必須在這些技術廣為網路犯罪分子使用之前時時監控新的規避和入侵技術,並採取防護措施。」

若要了解 BlackByte 最新 TTP 以及如何確保系統安全的更多資訊,請從 Sophos.com 下載完整報告。

- 新聞稿有效日期,至2022/11/05為止


聯絡人 :MalicHuang
聯絡電話:+88627311307
電子郵件:malic@wordtech.com.tw

上一篇:KIRIN冰結西西里檸檬全新升級!攜兩款本搾強勢回歸!
下一篇:奧丁丁揪你推秋季露營專區 精選七大特色營地 賞落羽松、雲海美景

 
搜尋本站


最新科技評論

■ 訂閱每日更新產業動態
RSS
RSS

當月產業動態

Information

 

 

 




個人.家庭.數位化 - 數位之牆

欲引用本站圖文,請先取得授權。本站保留一切權利 ©Copyright 2008, DigitalWall.COM. All Rights Reserved.
Question ? Please mail to service@digitalwall.com

歡迎與本站連結!