RansomHub 勒索软件团伙使用卡巴斯基的合法工具 TDSSKiller 来禁用目标系统上的端点检测和响应 (EDR) 服务。

在突破防御后，RansomHub 部署 LaZagne 凭证收集工具，从各种应用程序数据库中提取登录信息，以帮助在网络上横向移动。

TDSSKiller 在勒索软件攻击中被滥用

卡巴斯基创建了 TDSSKiller 工具，可以扫描系统以查找 rootkit 和 bootkit，这两种恶意软件特别难以检测，并且可以逃避标准安全工具的检测。

EDR 代理是更先进的解决方案，至少部分在内核级别运行，因为它们需要监视和控制低级系统活动，例如文件访问、进程创建和网络连接，所有这些活动都提供针对勒索软件等威胁的实时保护。

网络安全公司 Malwarebytes报告称，他们最近观察到 RansomHub 滥用 TDSSKiller 与内核级服务进行交互，使用命令行脚本或批处理文件禁用了机器上运行的 Malwarebytes Anti-Malware 服务 (MBAMService)。

TDSSKiller 支持的命令参数,来源：Malwarebytes

该合法工具在侦察和权限提升阶段之后被使用，并从临时目录（“C:\Users\User\AppData\Local\Temp\”）使用动态生成的文件名（“{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe”）执行。

作为一个使用有效证书签名的合法工具，TDSSKiller 不会面临 RansomHub 攻击被安全解决方案标记或阻止的风险。

接下来，RansomHub 使用 LaZagne 工具尝试提取使用 LaZagne 存储在数据库中的凭据。在 Malwarebytes 调查的攻击中，该工具生成了 60 个文件写入，这些文件可能是被盗凭据的日志。

删除文件的操作可能是攻击者试图掩盖其在系统上的活动的结果。

防御TDSSKiller

检测 LaZagne 很简单，因为大多数安全工具都会将其标记为恶意程序。但是，如果使用 TDSSKiller 解除安全软件的防御，恶意软件活动就会变得不可见。

TDSSKiller 处于灰色地带，因为包括 Malwarebytes 的 ThreatDown 在内的一些安全工具将其标记为“RiskWare”，这对用户来说也可能是一个危险信号。

该安全公司建议激活 EDR 解决方案上的防篡改功能，以确保攻击者无法使用 TDSSKiller 等工具禁用它们。

此外，监控“-dcsvc”标志、禁用或删除服务的参数以及 TDSSKiller 本身的执行可以帮助检测和阻止恶意活动。

链接：

https://www.bleepingcomputer.com/news/security/ransomhub-ransomware-abuses-kaspersky-tdsskiller-to-disable-edr-software/