Az új trükk: így bújtatják a zsarolóvírusok az EDR-kiiktatókat
Szédítő ütemben terjed egy új csomagolószolgáltatás, a Shanya, amelyet több zsarolóvírus-csoport is bevet, hogy elkerülje a kibervédelem figyelmét. Ezek a támadók a Shanya packer segítségével titkosítják a kártevőiket, így azok simán átcsúsznak a legtöbb vírusirtó és biztonsági megoldás ellenőrzésén. Elsődleges céljuk, hogy kiiktassák az úgynevezett endpoint detection and response (EDR) rendszereket, vagyis azokat az eszközöket, amelyek meg tudnák állítani a támadásokat.
Egyedi csomagolás, rejtett kód
A Shanya működése pofonegyszerű: a támadók feltöltik a káros kódjukat, amit a szolgáltatás visszaad egy sajátos, titkosított burokban. Mindenki egyedi algoritmust és stubot kap, így nehezen azonosítható a fertőzés. A trükk lényege, hogy a vírus bekerül egy Windows DLL-fájl (shell32.dll) memóriába másolt példányába, amelyen látszólag nincs semmi gyanús, hiszen az állományméret és elérési út is teljesen normálisnak tűnik, de a fejléc és a .text szekció már a támadók kódját tartalmazza.
EDR-ellenes támadótechnika
A csomagolt kártevő a memóriába töltve fejti ki hatását, de a lemezen nem jelenik meg, ezért különösen nehéz felismerni. A Shanya az EDR-rendszerek megkerüléséhez egy trükkös módszert is használ: hibás kontextusban hívja meg a RtlDeleteFunctionTable funkciót, így felborítja az automatikus elemzést és megnehezíti a minták vizsgálatát.
A támadók hagyományosan azt szeretnék, hogy a célpont rendszerén futó EDR teljesen le legyen tiltva, mielőtt adatokat lopnának vagy titkosítanának. Ehhez kombinált támadást vetnek be: egy legitim Windows-programhoz fércelik hozzá a Shanyával csomagolt kártékony DLL-t, majd két illesztőprogramot is telepítenek. Az egyik egy valóban aláírt ThrottleStop.sys, amely kihasználható hibát tartalmaz és lehetőséget ad a kernelmemória írására, a másik egy kártékony hlpdrv.sys, amely a biztonsági szoftverek leállítására alkalmas.
Nemcsak zsarolóvírusok
A Sophos kutatása szerint a Shanyát már nemcsak a Medusa, Qilin, Crytox vagy Akira csoportok használják; újabban a ClickFix kampányokban a CastleRAT kártevőt is ezzel csomagolják. Egyre több támadásban fordul elő, hogy a támadók kész megoldásokat vásárolnak az EDR elleni védelem megkerülésére, így a Shanya valódi aranybánya a kiberbűnözőknek. A jelentés részletes technikai elemzést és aktív támadásokhoz köthető, kompromittálódásra utaló indikátorokat is tartalmaz.
Michael Dell idén egészen elképesztő sikereket ér el: cége meghatározó beszállító lett az adatközpont-fejlesztésekben, többek között a CoreWeave és az xAI számára szállít Nvidia-alapú szervereket, rackeket, hűtőrendszereket, valamint támogatást, miközben együttműködik a Microsofttal, a Google-lel és az OpenAI-jal is nagy teljesítményű MI-rendszerek építésében...
💰 Egy észak-karolinai férfi több mint tíz év börtönt kapott, miután beismerte, hogy januárban Pokémon-kártyákat és pénzt lopott egy helyi videójátékbolt alkalmazottjától Wilmingtonban...
🍇 Idén június 29-én érdemes az eget figyelni: ekkor látható a júniusi telihold, más néven az Eperhold (Strawberry Moon), ami az év legalacsonyabban járó és egyik legkisebb teliholdja lesz...
A mexikói Metapában egy vadonatúj, 2043 négyzetméteres üzemben indult el az Egyesült Államok mezőgazdasági minisztériumának (USDA) legújabb programja: steril legyek tömeges előállítása...
⚡ A Microsoft az eddigieknél sokkal gyorsabban készül átállni a kvantumbiztos védelemre, mert a kvantumszámítógépek fejlődése minden korábbinál nagyobb fenyegetést jelent a jelenlegi titkosítási szabványokra...
Felmerül a kérdés, hogy mennyire bízhatunk meg a mesterséges intelligenciával hajtott böngészőkben, ha egy új támadás képes kijátszani a biztonsági korlátokat...
🔒 A Microsoft fejlesztéseinek köszönhetően mostantól jóval biztonságosabbak lesznek a Teams-megbeszélések, hiszen egy új szabályozás lehetővé teszi, hogy a felhasználók blokkolják az engedély nélküli, harmadik féltől származó botok csatlakozását...
A mesterséges intelligencia infrastruktúrája iránti fékezhetetlen igény egyre nagyobb mértékben fűti az inflációt – figyelmeztetett Beth Hammack, a clevelandi Szövetségi Tartalékbank elnöke...
⚠ A Samsung Messages alkalmazás hamarosan végleg eltűnik az amerikai felhasználók mobiljáról, így akinek fontosak a régi üzenetei, vagy továbbra is csevegni szeretne, érdemes minél előbb lépnie...
🔨 Felmerül a kérdés, hogy mi lenne, ha a betegségeket nem csupán a DNS szerkesztésével, hanem a gének működésének speciális beállításával lehetne kezelni?..
A Peacock Premium Plus már elérhető a YouTube Primetime Channels szolgáltatáson keresztül, így mostantól közvetlenül a YouTube alkalmazásban is előfizethetsz rá, és nézheted az összes tartalmat – legyen szó mobilról, tabletről vagy okostévéről...
💸 A világ egyik legnagyobb motor- és elektronikai alkatrészgyártójaként ismert, több mint 100 ezer embert foglalkoztató japán Nidec Corporation most hatalmas nyomás alatt áll: a Blackfield zsarolóvírus-banda 2 millió dollárt, vagyis körülbelül 726 millió forintot követel tőle...
🚦 Érdemes megvizsgálni, hogy a Shetland-szigetek vezetése radikális változtatásra készül a közlekedésben: egy 1,5 milliárd angol font (650 milliárd forint) értékű terv szerint az elöregedő kompokat víz alatti alagutak válthatják fel a következő nyolc éven belül...
A 19. század csatornaépítési és vasúti láza, a dotkom-lufi 2000-ből – mind gazdaságtörténeti példák arra, hogy valódi technológiai áttörések túlfűtött beruházási hullámokat indíthatnak el, amelyek végül recesszióval végződhetnek...
Az IBM újabb mérföldkőhöz érkezett a chiptechnológia világában: bemutatta a világ első, 1 nanométernél kisebb csíkszélességű technológiáját, mellyel egy körömnyi lapkán közel 100 milliárd tranzisztor kap helyet...
💫 Az Univerzum tágulásának részletesebb vizsgálata és a titokzatos sötét energia megértése közelebb kerülhet, hála egy barcelonai kutatócsoport forradalmi megközelítésének...
Ez a jelenség jól illusztrálható azzal, hogy a Nap közel ötmilliárd év múlva lenyűgöző változáson megy keresztül: kifogy a hidrogén üzemanyagából, vörös óriássá duzzad, majd még nagyobb méretet öltve aszimptotikus óriáság állapotba lép, végül fehér törpévé zsugorodik...
Az elmúlt években egyre többen néznek szembe azzal, hogy már 50 éves koruk előtt súlyos betegségekkel, például mell-, vastagbél-, vese- vagy méhrákkal diagnosztizálják őket...
📷 A Google egyre többet tud rólunk, mostantól pedig a Gemini alkalmazáson keresztül már a személyes fotóink felhasználásával is egyedi képeket készít...
Külön említést érdemel, hogy a Nissan jelenlegi és volt alkalmazottainak személyes adatai kerültek veszélybe egy kifinomult kibertámadássorozat során...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Lively Letters – Phonics (iPhone/iPad)Ez az alkalmazás villámgyorsan az App Store fizetős oktatási programjai élére tört...