Le gang de ransomwares RansomHub utilise TDSSKiller, un outil légitime de Kaspersky, pour désactiver les services de détection et de réponse des points de terminaison (EDR) sur les systèmes cibles.
Après avoir supprimé les défenses, RansomHub a déployé l’outil de récolte d’informations d’identification LaZagne pour extraire les connexions de diverses bases de données d’applications qui pourraient aider à se déplacer latéralement sur le réseau.
TDSSKiller victime d’attaques par ransomware
Kaspersky a créé TDSSKiller en tant qu’outil capable d’analyser le système à la recherche de rootkits et de bootkits, deux types de logiciels malveillants particulièrement difficiles à détecter et pouvant échapper aux outils de sécurité standard.
Les agents EDR sont des solutions plus avancées qui fonctionnent, au moins partiellement, au niveau du noyau, car ils doivent surveiller et contrôler les activités système de bas niveau telles que l’accès aux fichiers, la création de processus et les connexions réseau, le tout offrant une protection en temps réel contre les menaces telles que ransomware.
La société de cybersécurité Malwarebytes rapporte qu’elle a récemment observé RansomHub abuser de TDSSKiller pour interagir avec les services au niveau du noyau à l’aide d’un script de ligne de commande ou d’un fichier batch qui désactivait le service Anti-malware Malwarebytes (MBAMService) en cours d’exécution sur la machine.
L’outil légitime a été utilisé suite à la phase de reconnaissance et d’élévation de privilèges, et exécuté à partir d’un répertoire temporaire (‘C:\Users\ < Utilisateur> \ AppData \ Local \ Temp\’) en utilisant un nom de fichier généré dynamiquement ‘ ‘ {89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe’).
Étant un outil légitime signé avec un certificat valide, TDSSKiller ne risque pas que l’attaque de RansomHub soit signalée ou arrêtée par des solutions de sécurité.
Ensuite, RansomHub a utilisé l’outil LaZagne pour tenter d’extraire les informations d’identification stockées dans les bases de données à l’aide de LaZagne. Dans l’attaque sur laquelle Malwarebytes a enquêté, l’outil a généré 60 écritures de fichiers qui étaient probablement des journaux des informations d’identification volées.
L’action de suppression d’un fichier pourrait être le résultat de l’attaquant essayant de couvrir son activité sur le système.
Défendre contre TDSSKiller
Détecter LaZagne est simple car la plupart des outils de sécurité le signalent comme malveillant. Cependant, son activité peut devenir invisible si TDSSKiller est utilisé pour désactiver les défenses.
TDSSKiller est dans une zone grise, car certains outils de sécurité, y compris ThreatDown de Malwarebytes, le qualifient de « logiciel à risque », ce qui pourrait également être un signal d’alarme pour les utilisateurs.
L’entreprise de sécurité suggère d’activer la fonction de protection contre les altérations sur la solution EDR, pour s’assurer que les attaquants ne peuvent pas les désactiver avec des outils comme TDSSKiller.
De plus, la surveillance de l’indicateur ‘- dcsvc’, le paramètre qui désactive ou supprime les services, et de l’exécution de TDSSKiller lui-même peut aider à détecter et bloquer l’activité malveillante.