卡巴斯基Rootkit程式移除工具TDSSKiller遭RansomHub駭客用來關閉桌機安全

Malwarebytes研究人員發現，近來很猖獗的勒索軟體RansomHub駭客，利用合法工具如卡巴斯基rootkit程式移除工具，來關閉受害者桌機安全機制。

資安廠商Malwarebytes的ThreatDown 代管偵測與回應（Managed Detection and Response，MDR）小組發現，RansomHub最近襲擊其用戶時，一開始先以管理員群組列舉（admin group enumeration）手法進行偵察及網路探索，以找尋可下手目標，接著就用上了合法工具進行非法行為。TDSSKiller是被駭客惡意使用的合法工具之一。另一個是知名開源密碼與憑證回復工具，名為LaZagne。

TDSSKiller是卡巴斯基的rootkit程式移除工具，但研究人員發現，RansomHub駭客企圖利用指令行腳本程式或批次檔關閉端點偵測與回應（EDR）軟體工具，包括Malwarebytes防毒工具（MBAMService）。

等用戶桌機被關閉EDR防護後，RansomHub駭客就利用LaZagne，從受害者系統中汲取儲存的密碼和憑證。LaZagne可從多個應用，包括瀏覽器、電子郵件用戶端、資料庫等蒐集登入資訊，讓駭客更容易在受害者網路內橫向移動。其中又以資料庫憑證為最主要目標。受害系統會出現TDSSKiller.exe以及LaZagne.exe 二個檔案。

為防範勒索軟體使用這二工具攻擊，研究人員建議監控和小心TDSSKiller等處於灰色地帶的軟體或驅動程式，必要時隔離或完全封鎖。此外研究人員建議，利用網路區隔法切斷橫向移動，防範取得權限的駭客在網路上的裝置竊取敏感資料。

RansomHub是新興軟體駭客組織，根據估計，今年2月才現身的RansomHub，截至8月就已成功攻擊了至少210家受害者。受害企業包括美國醫療保健科技業者Change Healthcare、英國精品拍賣業者佳士得（Christie's）、臺灣電腦製造商藍天（Clevo）等。