RansomHub 勒索軟體組織被追蹤為 Water Bakunawa，採用有針對性的魚叉式網絡釣魚來利用 Zerologon漏洞，是一個影響 Windows Server 的漏洞，允許攻擊者通過操控 Netlogon 協議，無需身份驗證即可獲得對域控制器的控制權。
影響各個行業和關鍵基礎設施部門，要求為數據發布支付贖金，該組織最近整合了EDRKillShifter（一種在逃避檢測和破壞安全流程的工具），對端點安全構成了重大威脅，其動態禁用EDR 解決方案並確保持久性的能力使其成為傳統安全措施的強大對手

 

                                                                                 (利用 EDRKillShifter 的 RansomHub 感染鏈圖示)

 

勒索軟體組織通常透過利用漏洞、網路釣魚或密碼噴射來獲得對系統的初始存取權限。受損的使用者帳戶是特定事件的主要入口點，偵測到多次魚叉式網路釣魚嘗試，Zerologon 漏洞被確定為潛在的存取向量，因為 Vision One 遙測資料集顯示偵測結果顯示濫用海拔控制機制，進一步表明存在惡意活動。

 

* RansomHub 的規避策略採用了四個批次腳本來停用安全措施並促進未經授權的訪問，因為 232.bat 使用密碼噴射並停用了 Windows       Defender。

 * Tdskiller.bat 修改了登錄、終止了進程並禁用了趨勢科技的防毒服務，而 Killdeff.bat（混淆的 PowerShell 腳本）則操縱了 Windows   Defender 設定並試圖提升權限。 

* LogDel.bat 變更檔案屬性、修改 RDP 設定並清除 Windows 事件日誌以阻礙取證分析，從而損害系統安全性並使 RansomHub 能夠執行  其惡意負載。

 

                                                                        (透過 Attrib.exe 刪除 Default.rdp 的系統和隱藏屬性的命令)

 

EDRKillShifter 工具是一個 BYOVD 載入程序，攻擊者利用已知的、存在漏洞的驅動程序來繞過安全防護，進而獲取系統的控制權，這些驅動程序通常是合法的，但因為它們的安全漏洞，攻擊者可以利用它們來執行惡意代碼或提升權限。使用受密碼保護的命令列來執行和解密名為「data.bin」的嵌入式資源，然後解壓縮並執行第二階段有效負載，而進一步進行解密。

 

RansomHub 採用多階段攻擊，首先使用 Taskmgr.exe 轉儲 LSASS 記憶體進行憑證竊取，然後使用 NetScan 進行隱藏式網路偵察，最後使用 SMB/Windows 管理共用進行橫向移動，AnyDesk 充當他們的 C&C 基礎設施，而 rclone 則用於洩露敏感文件，這些文件利用各種技術來獲得深度存取、竊取資料和中斷操作。為了應對這種威脅，組織應加強端點保護，實施驅動程式和核心級保護，實施憑證安全，啟用行為監控，強化端點配置，並隨時了解最新的威脅情報

 

參考資料:

https://gbhackers.com/ransomhub-ransomware-edr-bypass/amp/