点击蓝字 关注我们
终端检测与响应(EDR)规避工具正日益受到威胁行为者的青睐。他们不断创新方法,绕过企业部署在受管设备上的EDR代理,从而避开对恶意软件和其他恶意活动的检测。
一些知名的勒索软件团伙已将EDR规避工具武器化,其中包括 FIN7 和 Black Basta。根据SentinelOne在2024年7月的研究,“AvNeutralizer”(又称 AuKill)EDR规避工具在2022年被这两个团伙合作的勒索软件活动中使用。更令人担忧的是,这款工具已不再是Black Basta的独占工具。
SentinelOne的报告指出,从2023年开始,“多个勒索软件组织对更新版AvNeutralizer的使用达到了高峰”。另一款受到威胁行为者欢迎的EDR规避工具是 spyboy 的 Terminator Kit。CrowdStrike在2023年的一段YouTube视频中评估了该工具,并指出它是一种利用易受攻击驱动程序(BYOVD)的攻击工具包。
在BYOVD攻击中,“威胁行为者滥用合法签名驱动程序中的漏洞,而这些驱动程序通常是安全产品运行的基础,从而成功实现内核模式漏洞利用并禁用防御解决方案”,Cyber News对此进行了详细解释。
除了基于BYOVD的破坏方法,另一个被威胁行为者频繁滥用以规避EDR传感器的双用途工具是 Brute Ratel。根据Blackpoint Cyber的描述,Brute Ratel 是一个“为红队和对抗模拟创建的定制化指挥控制工具,其框架与 Cobalt Strike 类似,通常被用作第二阶段载荷以开展进一步的恶意活动”。
虽然Brute Ratel最初是为合法的渗透测试开发的,但由于其“能够伪装成正常流量并提供持久远程访问”的能力,它经常被威胁行为者滥用。据Blackpoint Cyber称,“其高效性能可能是该工具吸引威胁组织的主要原因”。
鉴于Black Basta和其他威胁行为者在禁用EDR代理方面的成功,EDR规避工具的黑市交易日益繁荣。为了更好地了解这一网络犯罪市场,ExtraHop在暗网上进行了独立研究。他们分析了包括 XSS、Exploit.In 和 RAMP 在内的热门网络犯罪论坛,并收集了最新的EDR规避相关讨论。
通过对暗网帖子的分析,研究人员发现EDR规避工具的市场不仅存在,而且非常活跃。这一网络犯罪领域的快速创新和高需求进一步表明,仅依赖EDR防御的网络安全策略风险极高,容易失效。
EDR规避工具的黑市交易
EDR规避工具通常以订阅服务的形式出售,起价仅为每月350美元,或者单次绕过售价300美元。这一低价策略使得这些工具对勒索软件附属组织以及其他威胁行为者(包括技术水平较低的群体)极具吸引力。
在高端市场,ExtraHop发现了一些最新的交易列表,其中一些威胁行为者将其EDR规避工具定价为7,500美元,甚至高达10,000美元。这些高价工具中包含了加密器与EDR规避功能的组合。例如,在2024年7月15日发布于XSS论坛的一则帖子中,威胁行为者“Baphomet”出售其高级“AV/EDR进程终止软件”,价格为7,500美元。
Baphomet提供了以下关于其EDR规避工具的技术信息:
该产品兼容Windows操作系统(包括Windows Server、Windows 10、Windows 11等)。 可以删除受保护的进程,不会触发任何警告或报警。 需要管理员权限。 无需加密或混淆处理。该工具干净,无需额外工作。 产品由可信供应商签名,而不是随机证书。 无限制使用:软件附带源代码,提供完全控制权。支持所有AV/EDR厂商,购买后可自由使用。 软件未被列入黑名单,也不会被识别为恶意软件。 工具界面友好,使用简单。 无需系统重启。如果发生重启或关机,系统会正常恢复,但需要重新启动软件。 根据具体的AV/EDR系统,可能需要禁用或终止所有相关进程,但某些厂商的系统不需要终止每个进程。 检测间隔为500-750毫秒,可切换至1毫秒运行且无问题。运行过程中进程不会重新生成。
KernelMode(内核模式)
2024年1月15日,在XSS论坛的早期一则广告中,高声誉的威胁行为者“KernelMode”宣传了他们的“AV/EDR禁用工具”。
广告中解释了该工具的主要优势:“AV/EDR扫描器进程不会被终止,即从外部来看,安全解决方案仍在运行,但实际上文件和内存扫描已被禁用。该工具已在以下系统和AV/EDR上进行测试:Windows 7 SP1至Windows 11、Windows Server 2008 R2至2022,以及Bitdefender、CrowdStrike、Cylance、Palo Alto Networks、Kaspersky、DrWeb、ESET、Avast、Avira、Symantec、Sophos、SentinelOne、TrendMicro、Webroot和Windows Defender 10/11。”
“每个AV/EDR的月支持费用为 1,500美元,最低订单金额为 7,500美元。如果您需要的AV/EDR未在列表中,请联系我们,我们会尝试添加支持。我仅招募 7位客户,支持通过担保交易。”
“在交易前,我会提供视频演示,展示通过 mimikatz 的运行效果以及 scanner.to 上的当前AB/EDR扫描结果。”
KernelMode强调,他们的工具不会终止EDR应用程序进程,而是通过破坏文件和内存扫描功能,允许AV/EDR解决方案表面上继续运行。
值得注意的是,KernelMode的定价与Baphomet完全相同。这种相似性可能仅仅是黑市自由竞争的结果,但也有可能Baphomet和KernelMode出售的是同一款工具,并通过不同的化名和产品名称制造产品多样化的假象。
无论如何,KernelMode是一个高产的EDR规避工具供应商,其产品在XSS、RAMP、Exploit.in以及其他网络犯罪论坛和市场上均可发现。
Bug
在ExtraHop发现的网络犯罪论坛中,最高售价的产品是由威胁行为者“Bug”推广的一款加密器(locker)的源代码。该源代码的目标客户显然是勒索软件运营者。值得注意的是,“Bug”在2024年6月16日的XSS论坛帖子中写道,他们的“加密器内置通过系统调用(syscalls)绕过AB(杀毒软件)和EDR(终端检测与响应)模拟的功能,并实现了系统DLL的钩子移除、ETW(事件跟踪)和AMSI(反恶意软件扫描接口)的绕过。这是一套完全原创的代码。”
此广告具有重要意义,因为它展示了一些勒索软件组织如何将EDR规避功能直接集成到其加密器中。这种技术与 Fin7 和 Black Basta 等威胁行为者密切相关。
mkdele
另一个有趣的广告是威胁行为者 mkdele 于2022年4月发布在XSS论坛上的“禁用杀毒软件/EDR”帖子。该威胁行为者声称,他们的产品可以禁用大多数AV/EDR工具,包括:
SentinelOne、Sophos、Cisco、Symantec、Trend Micro、McAfee、Kaspersky、Malwarebytes、Windows Defender、Avast、Webroot、ESET、BitDefender、CrowdStrike、Panda、F-Secure、AhnLab、Cylance、G Data、Cortex、Carbon Black和Check Point。
Mkdele 的产品售价为 $2,000起。尽管Mkdele的AV/EDR规避工具已经推广了超过两年,但其广告中提到,该工具最近一次更新是在 2024年7月17日。自推出以来,该产品在XSS论坛上获得了许多成员的积极评价。
EDR规避技术
我们收集到的与EDR规避相关的其他有价值的帖子还讨论了诸如“攻击去相关化(attack decorrelation)”等技术。
在XSS论坛的一篇名为《Dumping LSA Secrets: A Tale of Task Distribution》的帖子中,威胁行为者“simplestop”详细介绍了一种提取Windows操作系统本地安全权限(Local Security Authority, LSA)加密密钥集的方法。这些密钥集存储在注册表中,咨询公司Wolf & Company, P.C.指出,注册表“本质上是一个存储计算机重要设置的数据库”。根据SentinelOne的研究,LSA Secrets中包含以下系统敏感数据:
用户密码 Internet Explorer密码 服务账户密码(需要认证凭据的服务) 缓存域密码加密密钥 SQL数据库密码 SYSTEM账户密码 已配置计划任务的账户密码 未激活的Windows副本的到期时间
因此,攻击者通常会尝试提取这些密钥,以获取敏感密码并枚举其他系统敏感数据。在其指南的第四章中,“simplestop”解释称,他们的EDR规避技术之所以能避开EDR和杀毒软件的检测,是因为采用了“攻击去相关化(attack decorrelation)”。
根据“simplestop”的说法,“攻击去相关化”是指不要用一个工具完成所有任务,而是使用多个工具分别完成简单的任务。随后,他们将“LSA密钥提取”攻击分解为以下三个步骤:
获取启动密钥(boot key) 使用一个专门查询注册表键类值的二进制程序,或通过打印方法获取。 导出注册表的SAM和SECURITY分支 使用 reg.exe工具导出。这一操作不会被阻止,因为它仅是读取注册表键,这种行为在系统中十分常见。“如果EDR要跟踪所有这些读取操作,我认为系统可能会崩溃。”解密导出的注册表内容和启动密钥 在受控的计算机上对这些数据进行解密。这种方法避免了在目标系统上执行加密操作,从而降低被EDR检测的可能性。
“simplestop”指出,如果攻击者按照这些步骤操作,他们将能够“获得解密密钥所需的所有信息”。此外,由于在目标系统上的操作极少,EDR通常难以察觉这些行为。
ExtraHop还收集到另一篇有关EDR规避的启发性帖子,这篇帖子甚至没有涉及实际产品或概念验证。2024年7月31日,威胁行为者“BigBug”在XSS论坛上发布了一则帖子,向论坛成员征求对其构想的评价。其提出的概念是为少量用户提供一种私人服务,该服务允许用户访问所有主流EDR解决方案。简单来说,这一想法类似于一个专为恶意软件开发者设计的虚拟沙箱环境,用于测试其恶意软件能否绕过各种领先的EDR代理:
用户支付订阅费用后,可以访问一个个人账户。 在账户中,用户可以选择一个或多个EDR解决方案。 按下按钮后,将启动加载选定EDR的虚拟机环境。 用户可以访问虚拟机并自由测试其软件。
这个概念表明,威胁行为者正在不断探索创新方式,以优化其攻击能力并提高恶意软件规避EDR检测的成功率。
虽然BigBug的提议——创建EDR规避虚拟沙箱服务——尚未有实际的概念验证产品,但这一帖子展示了不断演变且日益专业化的对抗性创新所带来的威胁潜力。
RevealX:强化不可逃避的网络安全
鉴于威胁行为者在规避EDR检测方面的持续创新,企业安全团队已经无法仅依赖端点检测或安全信息与事件管理(SIEM)工具。
RevealX™ 网络检测与响应(NDR)为组织提供全方位的可见性和检测能力,能够有效阻止使用最新EDR规避工具和终止套件的攻击者。RevealX可以实时监控企业的网络流量,包括南北向和东西向流量,甚至加密流量,并在发现显著异常时立即向安全分析员发出警报。
该平台以带外方式运行,确保所有NDR操作不会影响网络性能。它能够捕获交易日志、NetFlow数据以及跨越OSI模型第2至第7层的完整数据包,并将这些数据保存长达180天,支持深入调查和根因分析。
通过完整数据包捕获(PCAP),RevealX提供了更丰富的上下文和元数据,帮助实现更精准的检测并加速响应。借助RevealX,您可以随时掌握网络中每个数据包的活动情况,包括其来源、目的地以及通信内容。这种细致的分析能力对需要满足严格事件报告要求的组织尤为重要。
除了PCAP和行业领先的协议解密功能,RevealX还利用云端机器学习对网络数据进行分析,区分异常网络行为和正常流量。除了基于行为的机器学习检测外,RevealX还提供以下四种基于网络的检测能力:
网络指标检测 常见漏洞利用检测 新兴漏洞利用检测 通过入侵检测系统(IDS)模块实现的基于签名的网络恶意软件检测
随着攻击者不断开发新方法来绕过或禁用EDR控制,RevealX这样的NDR工具成为了一条关键的防线,使威胁行为者无法规避或禁用,确保企业网络安全得到全面保障。
文章来源
https://www.extrahop.com/blog/Dark-web-market-for-EDR-Killers
以下是solar安全团队近期处理过的常见勒索病毒后缀:
| 出现时间 | 病毒名称 | 相关文章 |
|---|---|---|
| 2024/11 | .rox | |
| 2024/10/23 | RansomHub | |
| 2024年11月 | Fx9 | |
| 2020年1月 | .mkp | |
| 2024年5月 | .moneyistime | |
| 2024/9/29 | .lol | |
| 2024/6/21 | .MBRlock | |
| 2024/6/1 | .steloj | |
| 2024/5/27 | .TargetOwner | |
| 2024/5/17 | .Lockbit 3.0 | |
| 2024/5/13 | .wormhole | |
| 2024/4/9 | .bianlian | |
| 2024/3/20 | .locked | |
| 2024/3/11 | .Live1.5 | |
| 2024/3/8 | .Live2.0 | |
| 2024/3/6 | .Elbie | |
| 2024/3/1 | .lvt | |
| 2024/2/26 | 0.27 | |
| 2024/1/18 | ._locked | |
| 2024/1/15 | .faust | |
| 2024/1/15 | .DevicData | |
| 2024/1/2 | .jopanaxye | |
| 2023/12/1 | .live1.0 | |
| 2023/9/5 | .CryptoBytes | |
| 2023/8/28 | .mallox | |
| 2023/8/2 | .rmallox | |
| 2023/1/10 | .DevicData-Pa2a9e9c | |
| 2023年初 | .halo | |
| 2021/5/1 | .mallox | |
| 2021年1月初 | .babyk | |
| 2020/5/18 | .consultraskey-F-XXXX | |
| 2019/5/1 | .src |
勒索攻击作为成熟的攻击手段,很多勒索家族已经形成了一套完整的商业体系,并且分支了很多团伙组织,导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同,TellYouThePass勒索软件家族常常利用系统漏洞进行攻击;Phobos勒索软件家族通过RDP暴力破解进行勒索;Mallox勒索软件家族利用数据库及暴力破解进行加密,攻击手法极多防不胜防。
| 时间 | 相关文章 |
|---|---|
| 2024/12/12 | |
| 2024/12/11 |
而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份,在其基础上加强公司安全人员意识。
| 时间 | 相关文章 |
|---|---|
| 2024/6/27 | |
| 2024/6/24 |
如果您想了解有关勒索病毒的最新发展情况,或者需要获取相关帮助,请关注“solar专业应急响应团队”。
更多资讯 扫码加入群组交流
喜欢此内容的人还喜欢
索勒安全团队
索勒安全团队
索勒安全团队
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...