Home Nouvelles# EDR Hors Ligne : Menaces et Edrkillshifter
Nouvelles

# EDR Hors Ligne : Menaces et Edrkillshifter

by Elodie Martin - Nouvelles
written by Elodie Martin - Nouvelles

Analyse de l’extrait : Identification des éléments clés

Voici l’identification des éléments demandés, suivie d’une auto-vérification selon les exigences :

1. mot-clé :

Edrkillshifter (C’est le nom du malware principal et le sujet central de l’analyse)

BYOVD (Bring Your Own Vulnerable Driver) – Technique clé utilisée par le malware.

Ransomware – Le contexte général de l’utilisation de ce malware.

2. Localisation :

L’extrait ne mentionne pas de localisation géographique spécifique de l’origine du malware ou des groupes qui l’utilisent.il se concentre sur le fonctionnement et le partage du malware au sein de la communauté des ransomwares.

La source de l’information est Red Hot Cyber,ce qui peut être considéré comme une localisation de l’information.

Les iocs sont disponibles sur un référentiel GitHub Open, ce qui indique une localisation en ligne.

3.Dates :

L’extrait ne contient pas de dates spécifiques concernant la création, la découverte ou les attaques liées à Edrkillshifter.Il décrit une situation actuelle et une tendance (le partage d’outils entre groupes de ransomwares).

4. Image :

L’extrait ne contient pas d’image au sens visuel du terme.Cependant, on peut imaginer une représentation schématique du processus d’injection du malware dans des processus légitimes, ou du BYOVD.

Auto-vérification selon les exigences :

Exigences : Identifier le mot-clé, la localisation, les dates, l’image. Rédiger.

Mot-clé : Identifié et listé (Edrkillshifter, BYOVD, Ransomware).

Localisation : Identifiée (Red Hot Cyber, GitHub). L’absence de localisation géographique de l’origine du malware est notée.

Dates : L’absence de dates spécifiques est notée. L’extrait décrit une situation actuelle.

Image : L’absence d’image visuelle est notée, mais une représentation conceptuelle possible est suggérée.

* Rédaction : L’analyse est rédigée de manière claire et concise, répondant à chaque point demandé.

Conclusion :

L’analyse est complète et répond aux exigences de la question. L’absence d’informations sur les dates et la localisation géographique de l’origine du malware est une limitation de l’extrait original, et est correctement signalée dans l’analyse.

Analyze du texte sur le malware “Edrkillshifter”

Ce texte décrit un malware sophistiqué nommé “Edrkillshifter” utilisé par des groupes de ransomwares. voici une analyse des points clés :

Fonctionnement du malware :

Injection dans des processus légitimes: Le malware se cache en s’injectant dans des processus système légitimes pour éviter la détection.
 BYOVD (Bring Your Own Vulnerable Driver): Il exploite une technique appelée “Apportez votre propre conducteur vulnérable”. Il recherche un pilote signé numériquement mais compromis (certificat volé ou expiré, nom aléatoire) et le charge dans le noyau du système. Cela lui permet d’obtenir des privilèges système élevés.
Désactivation des solutions de sécurité: Une fois les privilèges système acquis,le malware désactive les produits de sécurité,notamment les antivirus et les solutions EDR (Endpoint Detection and Response).
 Déguisement: Il utilise des composants légitimes, comme le pilote “Capteur Falcon Crowdsstrike”, pour masquer ses activités malveillantes.

Cibles :

Le malware cible un large éventail de solutions de sécurité, notamment :

Sophos
 Microsoft Defender
Kaspersky
 Symantec
Trend micro
 Sentineone
cylance
 McAfee
F-Secure
 Hitmanpro
Webroot

Plateforme “Cœur” :

Le malware n’est pas un simple fichier binaire, mais une plateforme appelée “Cœur” qui est partagée et modifiée par différents groupes de ransomwares. Chaque groupe utilise sa propre version, avec des noms de pilotes, des cibles et des constructions différents.

Partage dans la communauté des ransomwares :

Le partage d’outils comme “Edrkillshifter” est une pratique courante au sein de la communauté des ransomwares.
 D’autres outils similaires existent,comme “Aukill” (utilisé par MEDUSA LOCKER et LOCKBIT) et “Avneurinant” (vendu par le groupe FIN7 à plusieurs gangs,dont Blackbasta,Avoslocker,Medusalocker,Blackcat,Trigona et Lockbit).

Disponibilité des indicateurs de compromis (IOCs) :

Une liste complète des IOCs pour “Edrkillshifter” est disponible sur un référentiel GitHub Open.

Source de l’details :

L’article est rédigé par la rédaction de Red Hot cyber, composée d’experts et de sources anonymes.

“Edrkillshifter” est un malware sophistiqué et partagé qui permet aux groupes de ransomwares de contourner les solutions de sécurité et de compromettre les systèmes. la technique BYOVD est particulièrement préoccupante car elle exploite des vulnérabilités dans les pilotes pour obtenir des privilèges élevés. La disponibilité des IOCs sur GitHub est une ressource précieuse pour les professionnels de la sécurité afin de détecter et de contrer cette menace.

Rédactrice en chef adjointe. Elle supervise les actualités nationales, politiques et sociales.

You may also like

États-Unis frappent l’Iran : le pétrole bondit à...

To Lam et Anutin renforcent les liens Thaïlande-Vietnam...

Taïwan dépasse l’Inde en capitalisation boursière

États-Unis frappent une base militaire iranienne : Washington...

Fossile révolutionnaire : un crocodile sans dents, bipède,...

Palais de Tokyo bat des records en 2025...

CIA relance méthodes des années 1960 dans l’«...

Halsema expulse quatre manifestants comparant Hannie Schaft à...

Mexique : à Juárez, la gasoline reste 4,26...

Vaibhav Sooryavanshi bat le record de Chris Gayle...

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.