برندهای مطرح ضدویروس در تیررس نسخه ارتقایافته EDRKillShifter

محققان شرکت امنیتی سوفوس (Sophos)، یک ابزار جدید و پیشرفته برای غیرفعال‌سازی راهکارهای EDR را شناسایی کرده‌اند که در حال حاضر توسط دست‌کم 8 گروه باج‌افزاری معروف در حملات واقعی مورد استفاده قرار گرفته است.

این ابزار که نسخه‌ای ارتقاء‌یافته از بدافزار قبلی EDRKillShifter محسوب می‌شود، امکان دور زدن محصولات امنیتی همچون Kaspersky و Microsoft Defender را فراهم می‌کند تا مهاجمان بتوانند بدون شناسایی، باج‌افزار خود را اجرا، سطح دسترسی را ارتقا داده و فایل‌های روی سیستم‌ها را در کل شبکه سازمان رمزگذاری کنند.

ابزار مذکور با استفاده از یک فایل اجرایی پیچیده و رمزگذاری‌شده، خود را درون برنامه‌های معتبر تزریق می‌کند. سپس یک درایور دارای امضای دیجیتال جعلی یا منقضی‌شده را در هسته سیستم بارگذاری می‌کند تا با دسترسی سطح هسته (Kernel)، محصولات امنیتی را از کار بیندازد.

این تکنیک با نام Bring Your Own Vulnerable Driver – به اختصار BYOVD – شناخته می‌شود و در سال‌های اخیر به یکی از روش‌های محبوب باج‌افزارها برای عبور از دیوارهای دفاعی آنتی‌ویروس‌ها تبدیل شده است.

بر اساس بررسی‌های سوفوس، این ابزار توانایی شناسایی و غیرفعال‌سازی طیف گسترده‌ای از محصولات امنیتی را دارد. از جمله Kaspersky ،Microsoft Defender و Symantec.

نکته قابل‌توجه این است که ابزار کشف‌شده توسط سوفوس، تنها یک فایل واحد نیست؛ بلکه هر گروه مهاجم، نسخه مخصوص به خود را توسعه داده است. این موضوع نشان می‌دهد که برخلاف گذشته، گروه‌های باج‌افزاری اکنون در حال همکاری و به‌اشتراک‌گذاری ابزارهای خطرناک، به نحوی موثرتر هستند.

سوفوس، معتقد است که این ابزار در قالب یک چارچوب مشترک توسعه‌یافته که توسط چندین گروه تهدید پیشرفته استفاده می‌شود.

تا لحظه انتشار گزارش سوفوس، گروه‌های زیر شناسایی شده‌اند که از این ابزار برای نفوذ به سیستم‌های قربانی و رمزگذاری فایل‌ها استفاده کرده‌اند:

  • RansomHub
  • Blacksuit
  • Medusa
  • Qilin
  • Dragonforce
  • Crytox
  • Lynx
  • INC

 

درحالی‌که شرکت‌هایی مانند Sophos موفق به شناسایی این تهدید شده‌اند، حضور برندهایی مانند Kaspersky، Symantec و Microsoft Defender در فهرست قربانیان نشان می‌دهد که مهاجمان سایبری در حال عبور از لایه‌های سنتی امنیتی هستند.

برای مقابله با این چنین ابزارهای مخرب، انجام اقدامات زیر توصیه می‌شود:

  • به‌روزرسانی‌های امنیتی سیستم‌عامل و آنتی‌ویروس جدی گرفته شود؛
  • ابزارهای نظارتی پیشرفته‌تر مبتنی بر رفتار (Behavior-based) جایگزین ابزارهای سنتی شود؛
  • از بارگذاری درایورهای ناشناس و مشکوک جلوگیری شود؛
  • لاگ‌های سیستم و شبکه را به‌صورت مستمر پایش کنند.

 

مشروح گزارش سوفوس در لینک زیر قابل دریافت و مطالعه است:

https://news.sophos.com/en-us/2025/08/06/shared-secret-edr-killer-in-the-kill-chain/

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *