Threat Actors Διαφήμισαν κακόβουλο λογισμικό NtKiller στο Dark Web Claiming Terminate Antivirus and EDR Bypass

Ένας κακόβουλος ηθοποιός γνωστός ως AlphaGhoul έχει αρχίσει να προωθεί ένα εργαλείο που ονομάζεται NtKiller, σχεδιασμένο για να τερματίζει σιωπηλά το λογισμικό προστασίας από ιούς και τα εργαλεία ανίχνευσης τελικών σημείων.

Το εργαλείο δημοσιεύτηκε σε ένα υπόγειο φόρουμ όπου οι εγκληματίες συγκεντρώνονται για να αγοράσουν και να πουλήσουν υπηρεσίες hacking. Σύμφωνα με τη διαφήμιση, το NtKiller μπορεί να βοηθήσει τους εισβολείς να αποφύγουν τον εντοπισμό κατά την εκτέλεση του κακόβουλου λογισμικού τους σε μολυσμένους υπολογιστές.

Η εμφάνιση του NtKiller αντιπροσωπεύει μια σημαντική πρόκληση για οργανισμούς που βασίζονται σε παραδοσιακά εργαλεία ασφαλείας.

Ο παράγοντας απειλών ισχυρίζεται ότι το εργαλείο μπορεί να λειτουργήσει ενάντια σε πολλές δημοφιλείς λύσεις ασφαλείας, συμπεριλαμβανομένων των Microsoft Defender, ESET, Kaspersky, Bitdefender και Trend Micro.

Πιο ανησυχητικό είναι ο ισχυρισμός ότι μπορεί να παρακάμψει λύσεις EDR εταιρικής ποιότητας όταν εκτελείται σε επιθετικές λειτουργίες. Οι αναλυτές του KrakenLabs παρατήρησαν την ικανότητα του κακόβουλου λογισμικού να παραμένει κρυφό μέσω μηχανισμών επιμονής στην πρώιμη εκκίνηση, καθιστώντας εξαιρετικά δύσκολο για τις ομάδες ασφαλείας τον εντοπισμό και την αφαίρεση μόλις ενεργοποιηθεί.

Ερευνητές KrakenLabs αναγνωρισθείς ότι το NtKiller λειτουργεί μέσω μιας αρθρωτής δομής τιμολόγησης, με τη βασική λειτουργικότητα να κοστίζει 500 $, ενώ πρόσθετες λειτουργίες όπως η δυνατότητα rootkit και η παράκαμψη UAC κοστίζουν επιπλέον 300 $.

Αυτό το μοντέλο τιμολόγησης υποδηλώνει ότι το εργαλείο έχει βελτιωθεί για εμπορική πώληση εντός της κοινότητας των εγκληματιών στον κυβερνοχώρο.

Οι ισχυριζόμενες δυνατότητες του εργαλείου εκτείνονται πέρα ​​από τον απλό τερματισμό της διαδικασίας, συμπεριλαμβανομένης της υποστήριξης για προηγμένες τεχνικές αποφυγής όπως η απενεργοποίηση HVCI, ο χειρισμός VBS και η παράκαμψη της ακεραιότητας της μνήμης.

Τεχνικές δυνατότητες

Οι τεχνικές δυνατότητες που αποδίδονται στο NtKiller το καθιστούν ιδιαίτερα επικίνδυνο στα χέρια έμπειρων επιθετικών.

Ο μηχανισμός επιμονής κατά την πρώιμη εκκίνηση του εργαλείου λειτουργεί καθιερώνοντας τον εαυτό του κατά την εκκίνηση του συστήματος, προτού ενεργοποιηθούν πλήρως πολλά συστήματα παρακολούθησης ασφαλείας.

Αυτό το πλεονέκτημα χρονισμού επιτρέπει σε κακόβουλα ωφέλιμα φορτία να εκτελούνται σε περιβάλλον όπου ο εντοπισμός είναι ελάχιστος.

Επιπλέον, η προστασία κατά του εντοπισμού σφαλμάτων και της ανάλυσης εμποδίζει τους ερευνητές και τα αυτοματοποιημένα εργαλεία να εξετάσουν τη συμπεριφορά του κακόβουλου λογισμικού, δημιουργώντας ένα σημαντικό κενό γνώσης σχετικά με τις πραγματικές δυνατότητές του σε σχέση με τους ισχυρισμούς μάρκετινγκ.

Η επιλογή αθόρυβης παράκαμψης UAC αντιπροσωπεύει ένα άλλο κρίσιμο τεχνικό χαρακτηριστικό. Η παράκαμψη ελέγχου λογαριασμού χρήστη επιτρέπει στο κακόβουλο λογισμικό να αποκτά αυξημένα προνόμια συστήματος χωρίς να ενεργοποιεί τυπικές προτροπές των Windows που ενδέχεται να ειδοποιούν τους χρήστες για ύποπτη δραστηριότητα.

Σε συνδυασμό με τη λειτουργικότητα του rootkit, οι εισβολείς θα μπορούσαν να διατηρήσουν μόνιμη πρόσβαση σε παραβιασμένα συστήματα, παραμένοντας αόρατοι στην τυπική παρακολούθηση ασφαλείας.

Είναι σημαντικό να σημειωθεί ότι αυτές οι δυνατότητες δεν έχουν επαληθευτεί ανεξάρτητα από τρίτους ερευνητές και η πραγματική αποτελεσματικότητα του NtKiller παραμένει ασαφής.

Οι οργανισμοί θα πρέπει να διατηρούν επαγρύπνηση και να διασφαλίζουν ότι τα εργαλεία ασφαλείας τους περιλαμβάνουν δυνατότητες ανίχνευσης συμπεριφοράς πέρα ​​από την αναγνώριση βάσει υπογραφών για την αντιμετώπιση τέτοιων αναδυόμενων απειλών.