กลุ่ม Gentlemen Ransomware-as-a-Service (RaaS) กำลังดำเนินการพัฒนา และ Maintaining ชุดเครื่องมือสำหรับหยุดการทำงานของระบบ Endpoint Detection and Response (EDR) อย่างต่อเนื่อง เพื่อช่วยให้เครือข่ายผู้ร่วมโจมตีสามารถหลบเลี่ยงการตรวจจับในระหว่างดำเนินการโจมตีได้ (more…)
แรนซัมแวร์ Gentlemen ใช้เครื่องมือ EDR killers หลายตัวเพื่อปิดการทำงานของระบบป้องกัน
พบเครื่องมือ EDR-Freeze ที่ใช้ Windows WER เพื่อหยุดการทำงานของอุปกรณ์ Security
นักวิจัยพบวิธีการโจมตีรูปแบบใหม่ รวมถึงมีการทดสอบ Proof-of-Concept (PoC) ที่มีชื่อว่า EDR-Freeze ซึ่งมีความสามารถในการหลบหลีกการตรวจจับจากอุปกรณ์ Security และสามารถทำได้จาก User Mode ด้วยระบบ Windows Error Reporting (WER) system ของ Microsoft
เทคนิคดังกล่าวช่วยลดความจำเป็นในการใช้ไดรเวอร์ที่มีช่องโหว่ในการโจมตี และทำให้ Security Agent เช่น Endpoint Detection and Response (EDR) เข้าสู่โหมด hibernation
(more…)
Microsoft แก้ไขช่องโหว่ blocklist sync ของ Driver บน Windows
Microsoft ประกาศเรื่องการแก้ไขปัญหาที่ทำให้ blocklist ** ของไดรเวอร์ที่มีช่องโหว่ไม่ถูกซิงค์กับระบบที่ใช้ Windows ในเวอร์ชันเก่า โดย blocklist นี้ (จัดเก็บไว้ในไฟล์ DriverSiPolicy.
