【EDR回避】
■回避手法
◆ AMSI バイパス (まとめ)
https://malware-log.hatenablog.com/entry/AMSI_Bypass
◆APIフック (まとめ)
https://malware-log.hatenablog.com/entry/API_Hooks
■EDRを回避する機能を持つマルウェア
◆AuKill (まとめ)
Process Explorerのドライバを悪用してEDRを停止
◆EDRKillShifter (まとめ)
https://malware-log.hatenablog.com/entry/EDRKillShifter
【ニュース】
■2023年
◆Ransomware gangs abuse Process Explorer driver to kill security software (BleepingComputer, 2023/04/19 13:46)
[ランサムウェアのギャングがProcess Explorerのドライバを悪用してセキュリティソフトを破壊する]
https://www.bleepingcomputer.com/news/security/ransomware-gangs-abuse-process-explorer-driver-to-kill-security-software/
⇒ https://malware-log.hatenablog.com/entry/2023/04/19/000000_12
◆AuKill マルウェア:悪意のドライバーで EDR を無力化してから攻撃を開始 (IoT OT Security News, 2023/04/21)
https://iototsecnews.jp/2023/04/21/aukill-malware-hunts-kills-edr-processes/
⇒ https://malware-log.hatenablog.com/entry/2023/04/21/000000_6
◆マルウェアがEDRの検出をすり抜ける手口とは (マイナビニュース, 2023/12/28)
https://news.mynavi.jp/techplus/article/20231228-2851486/
⇒ https://malware-log.hatenablog.com/entry/2023/12/28/000000_5
■2024年
◆ロシアのFIN7が開発、セキュリティシステムを狙う新ツール「AuKill」でランサムウェア攻撃を強化 (innovaTopia, 2024/07/17 20:08)
https://innovatopia.jp/cyber-security/cyber-security-news/39457/
⇒ https://malware-log.hatenablog.com/entry/2024/07/17/000000_1
◆Ransomware gang deploys new malware to kill security software (BleepingComputer, 2024/08/15 14:01)
[ランサムウェア集団、セキュリティ対策ソフトを無効化する新たなマルウェアを展開]
https://www.bleepingcomputer.com/news/security/ransomware-gang-deploys-new-malware-to-kill-security-software/
⇒ https://malware-log.hatenablog.com/entry/2024/08/15/000000
◆システムに介入する「フック」の技術 (日経XTECH, 2024/09/03)
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/081900058/
⇒ https://malware-log.hatenablog.com/entry/2024/09/03/000000
◆EDR製品を無効化するランサムウェア攻撃を確認 RansomHubの最新手口 (ITmedia, 2024/09/13 08:00)
https://www.itmedia.co.jp/enterprise/articles/2409/13/news067.html
⇒ https://malware-log.hatenablog.com/entry/2024/09/13/000000
【ブログ】
■2022年
◆EDRを回避するためのスター・ウォーズのジェダイ・マインド・トリック (Deep Instinct, 2022/08/31)
https://www.deepinstinct.com/ja/blog/jedi-mind-tricks-to-bypass-endpoint-detection-response-edr-
⇒ https://malware-log.hatenablog.com/entry/2022/08/31/000000_5
■2023年
◆Process Explorer のドライバを悪用し、EDR を妨害するマルウェア「AuKill」 (Sophos, 2023/04/19)
ドライバを悪用してセキュリティ製品を無効化する攻撃が増加しています
https://news.sophos.com/ja-jp/2023/04/19/aukill-edr-killer-malware-abuses-process-explorer-driver-jp/
⇒ https://malware-log.hatenablog.com/entry/2023/04/19/000000_14
◆Aukill An Silent EDR Killer Malware (Mohitrajai, 2023/05/29)
https://mohitrajai.medium.com/aukill-an-silent-edr-killer-malware-45f45a276aae
⇒ https://malware-log.hatenablog.com/entry/2023/05/29/000000_2
■2024年
◆Ransomware attackers introduce new EDR killer to their arsenal (Sophos, 2024/08/14)
[ランサムウェア攻撃者が新たなEDRキラーを武器庫に導入]
https://news.sophos.com/en-us/2024/08/14/edr-kill-shifter/
⇒ https://malware-log.hatenablog.com/entry/2024/08/14/000000_1
【書籍】
◆Evading EDR (Matt Hand, 2024)
https://nostarch.com/evading-edr
⇒ https://malware-log.hatenablog.com/entry/2024/08/18/000000
【検索】
google: EDR回避
google: EDR Evasion
google:news: EDR回避
google:news: EDR Evasion
google: site:virustotal.com EDR回避
google: site:virustotal.com EDR Evasion
google: site:github.com EDR回避
google: site:github.com EDR Evasion
■Bing
https://www.bing.com/search?q=EDR回避
https://www.bing.com/search?q=EDR%20Evasion
https://www.bing.com/news/search?q=EDR回避
https://www.bing.com/news/search?q=EDR%20Evasion
https://twitter.com/search?q=%23EDR回避
https://twitter.com/search?q=%23EDR%20Evasion
https://twitter.com/hashtag/EDR回避
https://twitter.com/hashtag/EDR%20Evasion
【関連まとめ記事】
◆マルウェア / Malware (まとめ)
https://malware-log.hatenablog.com/entry/Malware
