研究人员观察到 RansomHub 勒索软件团伙使用 TDSSKiller 工具禁用端点检测和响应 （EDR） 系统。

Malwarebytes ThreatDown 托管检测和响应 （MDR） 团队观察到，RansomHub 勒索软件团伙正在使用 TDSSKiller 工具禁用端点检测和响应 （EDR） 系统。

TDSSKiller 是网络安全公司卡巴斯基开发的用于删除 rootkit 的合法工具，该软件还可以通过命令行脚本或批处理文件禁用 EDR 解决方案。

专家们注意到，勒索软件组织还使用 LaZagne 工具来收集凭据。在 MDR 调查的案件中，专家观察到 LaZagne 生成了 60 次文件写入，可能记录了提取的凭据，并执行了 1 次文件删除，可能隐藏了凭据收集活动的痕迹。

“尽管 TDSSKiller 和 LaZagne 都已被攻击者使用多年，但这是 RansomHub 在其运营中使用它们的首次记录，其中 TTP 未列在 CISA 最近发布的 RansomHub 公告中。”“这些工具是在初始侦察和网络探测之后通过管理员组枚举（例如 net1 组 'Enterprise Admins' /do）部署的。”

RansomHub 使用带有 -dcsvc 标志的 TDSSKiller 尝试禁用关键安全服务，特别是针对 Malwarebytes 反恶意软件服务 （MBAMService）。该命令旨在通过禁用此服务来破坏安全防御。

命令行：其中 -dcsvc 标志用于定位特定服务。在这种情况下，攻击者尝试禁用 MBAMService。tdsskiller.exe -dcsvc MBAMService 

文章原文链接:https://www.anquanke.com/post/id/300028