【精選威脅情資】當防禦系統成為目標：Ransomhub 勒索軟體反偵測技術剖析

‍

危害與影響

駭客組織 Water Bakunawa 營運的 Ransomhub勒索軟體，雖然開始活躍僅僅一年多，卻已憑藉其精密戰術在資安界引發高度關注。Ransomhub 主要目標是癱瘓 EDR 和防毒軟體，在2024 年 6 月曾利用 Zerologon(CVE-2020-1472) 等漏洞，成功攻擊多個產業與關鍵基礎設施領域，包含水利與廢水處理、資訊科技、商業與政府服務及設施、醫療保健、農業、金融服務、製造業、交通運輸和通訊業等。

‍

分析師觀點

Ransomhub 攻擊鏈揭示了在保護數位資產上，主動獲取威脅情資、穩健的安全措施與持續監控之重要。類似 Ransomhub 勒索軟體的組織正不斷演進，使用的反 EDR 戰術更加精密，企業必須調整現有的資安策略，以便在瞬息萬變的網路安全環境中，有效應對新興威脅所帶來的風險。

‍

描述

根據美國聯邦調查局 (FBI) 的報告，自 2024 年 2 月以來，已有超過 210 個組織受害。 Ransomhub 攻擊鏈採用了高階的反 EDR 技術，例如專門干擾資安流程、規避偵測並確保在受駭系統中持續潛伏而設計的 EDRKillShifter。透過批次腳本和 EDRKillShifter 等工具，Ransomhub 能停用或終止 EDR 防護程序、從LSASS 記憶體中竊取憑證以升級攻擊、進行隱密的網路偵察、利用 rclone 等工具竊取敏感資料，最終部署勒索軟體來加密檔案並勒索贖金。 Ransomhub 的興起不僅造成實質經濟與安全威脅，更代表了勒索軟體攻擊越趨普遍；在其攻擊中各種繞過現行資安防禦的高階工具與戰術，則突顯了多層次防禦策略與攻擊面管理的必要性。

‍

技術分析

RansomHub勒索軟體除了採用高階的反 EDR 技術來規避偵測、潛伏在受駭系統中，更值得注意的是 EDRKillShifter 工具，它能癱瘓傳統的 EDR 防禦，大幅提高攻擊成功機率。

初始入侵

RansomHub透過多種方式取得初始入侵的權限，例如：利用 Zerologon 漏洞 (CVE-2020-1472) 和入侵使用者帳戶。

規避偵測

在某次事件中，RansomHub 使用了 232.bat、tdsskiller.bat、killdeff.bat 和 LogDel.bat 等批次腳本來規避偵測。這類腳本會停用安全功能、修改 Windows 登錄檔設定，並清除事件日誌，藉此妨礙鑑識調查。

EDRKillShifter

EDRKillShifter是 RansomHub 攻擊鏈中的關鍵工具。它是一個載入器執行檔，利用有漏洞的驅動程式來終止 EDR 和防毒軟體。在解密了 data.bin 此嵌入式資源、將其載入記憶體中執行後，EDRKillShifter 就可繞過安全措施並提升潛伏在系統中的成功率。

竊取憑證

RansomHub利用工作管理員匯出 LSASS 記憶體中的憑證，藉此升級攻擊。勒索軟體不僅能竊取敏感憑證、造成更深層的破壞，也讓復原工作變得更加複雜。

橫向移動

攻擊者運用橫向移動工具傳輸技術、SMB/Windows 管理員共用，以及 NetScan 等工具，在難以被察覺的情況下，精準且有效率地跨系統移動，為後續的針對性攻擊鋪路。

命令與控制 (C&C)

RansomHub利用 AnyDesk 作為其 C2 基礎架構，這個合法的遠端工具被濫用來執行指令、竊取資料和橫向移動等惡意活動。

資料竊取

駭客使用指令列工具 rclone 從受駭網路中竊取敏感檔案，與 MITRE ATT&CK 的 T1041 透過 C2 通道竊取資料(Exfiltration Over C2 Channel) 相符，意即將資料傳輸到遠端伺服器，作為勒索贖金的籌碼。

總結

一旦勒索軟體執行檔與 EDRKillShifter 執行成功，系統檔案便會遭加密，VSS 快照也會在未經確認的情況下被刪除，嚴重影響系統的復原能力。因此，深入了解 RansomHub 攻擊鏈與 EDRKillShifter 等工具的技術細節，能幫助資安專業人員有效預測並防禦類似的威脅。

‍

緩解措施

為有效應對 RansomHub 與 EDRKillShifter 工具帶來的風險，我們建議企業建構一套多層次的安全策略，同時處理短期與長期的威脅：

1. 強化端點防護系統

•         啟用行為分析與啟發式掃描：啟用這些功能來偵測與勒索軟體攻擊相關的異常活動或行為，協助識別並隔離受感染的系統。

•         定期更新與修補：確保所有端點裝置都定期更新和安裝修補程式，以解決已知漏洞，特別是與驅動程式和核心層級相關的問題。

2. 限制端點存取權限

•         持續驗證：導入持續驗證機制以限制橫向移動，也可借助端點隔離和還原功能來控制惡意軟體的擴散。

•         端點隔離：採用隔離技術，防止受感染端點與其他系統通訊，降低影響範圍。

•         啟用還原功能：啟用還原功能，在系統受駭時回復到先前的狀態，減少衝擊。

3. 保護驅動程式與核心層級

•         驅動程式管理：嚴格控管系統上允許執行的驅動程式，使用能監控並限制未經授權或可疑驅動程式執行的工具。

•         核心層級監控：監控核心層級以提前偵測、攔截可疑活動。

4. 加強憑證與驗證安全

•         多因子驗證 (MFA)：在所有存取點啟用 MFA，增加一道安全防線，讓攻擊者難以取得未經授權的存取權限。

•         定期更新密碼：強制更新並使用高強度密碼，降低未經授權存取的風險。

•         角色型存取控制：依角色限制存取權限，並定期審核驗證系統的漏洞。

5. 啟用行為監控與異常偵測

•         即時監控：持續監控並留意任何異常行為，及早辨識勒索軟體或惡意活動。

•         自動化警示與分析：設定自動化警示與分析機制，例如：即時監控網路流量和系統日誌等，以利迅速應對潛在威脅。

•         異常偵測：利用機器學習和人工智慧來偵測並標記與勒索軟體活動相關的異常活動。

結論

針對 EDR 與其他防禦系統的攻擊方興未艾，依據我們提供的技術分析與緩解策略，強調了嚴格的存取控制與持續監控，能為企業打造穩固的安全防線，大幅降低成為 RansomHub 和類似勒索軟體攻擊受害者的風險。

‍

參考資料

1. How Ransomhub Ransomware Uses EDRKillShifter toDisable EDR and Antivirus Protections
2. Threat Actor Groups Tracked by Palo AltoNetworks Unit 42
3. #StopRansomware: RansomHub Ransomware
4. RansomHub Ransomware Operators Deploy NewMalware To Disable EDR Security Software In BYOVD Attacks
5. RansomHub Ransomware Using Multiple TechniquesTo Disable EDR And Antivirus

‍

入侵指標 (Indicator of Compromise, IoCs)

Files

URL

• Context: IP Address where the Anti-EDR was downloaded
• URL: hxxp://82.147.85[.]52/Loader.exe