Siber suçlular, kötü amaçlı yazılımdan kaçan algılamayı yaymak için bir yöntem olarak anti-virüs (AV) ve Endpoint Detection and Response (EDR) çözümleri satıyorlar.
Vx-yeraltı gönderildi en son AV ve EDR öldürücü saatler sonra bir iddia daha ortaya çıktı. Bir siber güvenlik araştırmacısı tarafından yayınlanan bir demoya göre, AV ve EDR katilleri kullanıcının tespitten kaçmasına yardımcı oldu.
Ayrıca, AV ve EDR katilinin satıcısı, Genişletilmiş Tespit ve Yanıtı (XDR) etkileme yeteneğine sahip olmakla övünüyordu.
Karanlık ağda satılan AV ve EDR katillerinin ayrıntıları
“Tüm AV’leri/ EDR’leri/ XDR’leri meşru bir şekilde sonlandırmak için özel bir program satıyorum ve bu program piyasada bulunan WD, Sophos, Carbon black, SentinelOne gibi piyasada(et) bulunan Avs/EDR/XDR’lerin çoğunda test edilmiştir. , ESET, Kaspersky, etc” adlı bir tehdit aktörünün onayı Casus çocuk Okumak.
Satıcı ifade verdi xss.is ve diğer forumlarda satılanlarla mümkün olmayan Windows 7 ve Windows Server 2008’deki AV ve EDR katilinin etkinliği hakkında.
AV/ EDR/ XDR öldürücü, Windows 7’den Windows 11’e ve Windows Server 2008’den Windows Server 2022’ye kadar olan sürümlerde tespit edilmekten kurtulabilir.
AV/EDR katilinin aşağıda gösterildiği gibi Sophos ve CrowdStrike tespitinden nasıl kaçtığını gösteren iki video yayınladılar:
Videoda Sophos’tan bahsedilmesi konusuna değinerek, Sophos Mühendislikten Sorumlu Başkan Yardımcısı Dennis Griffin “Bilginiz olsun, video Sophos Home’a aittir ve bu, işletmeler için ticari ürünümüzü hiçbir şekilde temsil etmemektedir.”
başka bir okuyucu AV/ EDR/ XDR katilinin gerçek olamayacak kadar ucuz olduğunu yazdı.
AV/ EDR öldürücü satışta, nerede çalışır?
Spyboy, AV ve EDR katilinin güvenliğini tehlikeye atmak ve potansiyel olarak siber suçlulara erişim sağlamak için kaçındığı birkaç çözümden bahsetti. Onlar –
- korteks
- Cylance
- Kaspersky
- DUR
- ortalama
- Symantec
- McAfee
- bitdefender
- TrendMikro
- Panda
- Malwarebytes
- CheckPoint Bitiş Noktası
- TopSec
- 360 İnternet Güvenliği
- Ayun
- Vipre
- Web kökü
- siber mevsim
AV/EDR öldürücünün hepsi bir arada sürümü, ilk beş alıcı için 1.500 $ olarak ücretlendirildi. Bunu takiben, maliyeti 3.000 $ ‘a yükselecektir.
Spyboy, AV öldürücülerin ayrı ayrı satılmasıyla ilgili olarak “Belirli bir AV/EDR/XDR için bir yapı için 300 ABD doları” diye yazdı. SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex ve Cylance dahil olmak üzere Belirli EDR katillerinin tek başına satılmayacağını eklediler.
Sonlandırıcı için önce güvenliği devre dışı bırakacak ve sonra çalıştıracak bir indiriciden bile bahsettiler. Bunlar müzakere için PM veya TOX’ta mevcuttu.
Twitter’daki bir kullanıcı, etkili olduğu iddiasına, göründüğü kadar göz korkutucu olmadığını belirterek yanıt verdi. AV ve EDR öldürücü dosyalarının olması gerektiğinden yönetici olarak çalıştır ki tüm kullanıcılar kolayca yapamaz.
VX-Underground, AV/EDR öldürücü programını başlatıyor
Siber güvenlik araştırmacısı VX-Yeraltı dark web’deki AV ve EDR katilini fark etti ve kendi versiyonunu da piyasaya süreceklerini duyurdu.
Tweetlerinde, “AV/EDR katillerini satan Tehdit Aktörlerinde bir eğilim gördük. Aşağıdaki ekran görüntüsü ile kendi AV/EDR öldürücü programımızı açıklamaya karar verdik.
Cyber Express, tespitten kaçmak için kendi programlarını açıkladıkları hakkında yorumlar için VX-Underground’a ulaştı. Yanıtlarını aldıktan sonra makaleyi güncelleyeceğiz.
AV, EDR ve XDR katilleri
AV öldürücüler, virüs koruma programlarını devre dışı bırakan saldırgan ve kötü niyetli güvenlik çözümleridir. Bazı durumlarda güvenlik duvarı korumasından kaçarken kötü amaçlı yazılımların sistemlere girmesine izin verir.
AuKill olarak adlandırılan Sophos X-Ops, EDR işlemlerinin bu araçlar tarafından, sürücünün güncel olmayan sürümlerinden yararlanılarak öldürüldüğünü belirtti. EDR öldürücüler, EDR tespitini devre dışı bırakır ve ayrıca bilgisayar korsanlarının hedefin sistemlerindeki komutlarla bağlantı kurması için bir arka kapı konuşlandırmaya yardımcı olur.
XDR, bir ağ içindeki saldırıları çoğu EDR’den daha iyi tespit etmeye yardımcı olur. Çeşitli tehdit vektörlerinden bilgi toplanmasına yardımcı olabilir. AN XDR katili, çoğunlukla AV/EDR/XDR dahil algılama araçlarına dayanan kurumsal güvenlik için kritik bir tehdit oluşturabilir.
Bu güvenlik araçları yalnızca gelişmiş güvenlik sunmakla kalmaz, aynı zamanda keylogger’ları, kötü amaçlı yazılımları ve sunucuya ulaşan şüpheli iletişimleri de algılar.