Ransomwaregroepen vinden nieuwe manieren om endpointbeveiliging te omzeilen
Veel bedrijven werken met zogenaamde Endpoint Detection and Response software (EDR) om minder legaal gedraag op computers te kunnen detecteren en aan te pakken. Maar een groeiend aantal ransomware-groepen maakt slim gebruik van zogenaamde 'EDR-killers', die deze software uitschakelt. Hierdoor kunnen de criminelen ongestoord hun gang gaan en voor meer schade zorgen.
Hoewel het gebruik van de EDR-killers niet heel nieuw is, wordt het steeds gerichter en op grotere schaal toegepast. De tools die het digitale dievengilde inzet kunnen, na inbraak tot op het kernel niveau (de diepste laag van een besturingsysteem) relatief eenvoudig EDR-software van de grootste security-aanbieders uitschakelen. Denk hierbij aan Sophos, Trend Micro, Kaspersky en Bit Defender, meldt The Register.
Interessant is dat elke aanval met een eigen versie van een EDR-killer gebeurt. Dit zorgt er voor dat het voor de verdedigende partijen lastig wordt om een standaard EDR-killer te herkennen.
Daarnaast wordt ook gebruikt gemaakt van een 'Bring Your Own Vulnerable Driver (BYOVD)'-aanval. Hierbij gebruikt de crimineel een legitiem maar kwetsbaar stuurprogramma dat in de kernel wordt geladen en misbruikt. Via deze aangepaste driver krijgt de aanvaller de diepe toegang die vereist is, waarna hij de EDR-software kan uitschakelen en vervolgens rustig en ongezien data kan verzamelen en via het netwerk de aanval kan opschalen.
Geen malware? geen probleem
Opvallend genoeg maken sommige aanvallers geen gebruik van speciaal ontworpen kwaadaardige software en drivers, maar van legitieme software. Zo werd een tijdje geleden bekend dat bepaalde ransomwareaanvallen HRSword gebruikten, een legitiem verkrijgbaar commercieel product dat, je raadt het al, gebruikt kan worden om EDR uit te schakelen. Ook zijn criminelen soms zo brutaal dat ze gewoon software van de securityleverancier zelf gebruiken om de EDR uit te schakelen.
Het gebruikmaken van een normaal stuk software, geeft aanvallers het voordeel dat deze minder snel opvalt en niet of nauwelijks herkend wordt als 'verdacht' door beveiligingssoftware. Dit maakt het extra moeilijk om dergelijke aanvallen te detecteren en te stoppen.
Het grootste gevaar van het toenemende gebruik van dit soort EDR-killers, is dat de kwaadwillenden niet alleen ongezien op een computer aan de gang kunnen, maar dankzij de kernel-toegang die ze al hebben gekregen enorme schade kunnen aanrichten. Ze kunnen bijvoorbeeld misbruik maken van de grotendeels onbewaakte communicatiepaden tussen verschillende systemen, waardoor ze ook dieper in netwerken en op andere gevoelige systemen terecht kunnen komen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee