Aggregator

Learn how AI technologies can be applied to enhance security, create safe and responsible applications, develop intelligent agents, and improve information discovery. You’ll gain practical skills, explore new tools, and work on projects that help you apply what you learn. Building Safe and Responsible Generative AI Applications with Amazon Bedrock Guardrails This course introduces Amazon Bedrock Guardrails, tools that help ensure safety, privacy, and responsible AI in generative AI applications. Participants will learn how Guardrails … More →

The post Free courses: Master AI tools from Microsoft, AWS, and Google appeared first on Help Net Security.

AI is changing how enterprises approach Kubernetes operations, strategy, and scale. The 2025 State of Production Kubernetes report from Spectro Cloud paints a picture of where the industry is heading: AI is shaping decisions around infrastructure cost, tooling, and edge deployment. What challenges does your organization face with using Kubernetes in production? (Source: Spectro Cloud) “This year’s data shows organizations doubling down on AI and edge, even while wrestling legacy VMs into their clusters. The … More →

The post AI is changing Kubernetes faster than most teams can keep up appeared first on Help Net Security.

一种新型端点检测与响应（EDR）杀毒工具已在8个不同勒索软件团伙的攻击中被发现，该工具被认为是RansomHub开发的“EDRKillShifter”的升级版。

这类工具能帮助勒索软件操作者关闭已入侵系统上的安全产品，从而在不被发现的情况下部署有效载荷、提升权限、尝试横向移动，并最终加密网络中的设备。

据Sophos安全研究人员介绍，这款尚未被赋予特定名称的新工具，已被RansomHub、Blacksuit、Medusa、Qilin、Dragonforce、Crytox、Lynx和INC等团伙使用。

这款新型EDR杀毒工具采用高度混淆的二进制文件，在运行时会自行解码并注入到合法应用程序中。

该工具会搜索一个带有随机五字符名称的数字签名驱动程序（签名可能是被盗或过期的），这个名称被硬编码到可执行文件中。

恶意驱动程序使用的被盗和过期的证书

一旦找到，恶意驱动程序就会加载到内核中——这是执行“自带漏洞驱动程序”（BYOVD）攻击并获取关闭安全产品所需的内核权限的必要步骤。

该驱动程序伪装成合法文件（如CrowdStrike Falcon传感器驱动程序），但一旦激活，就会终止与反病毒（AV）/EDR相关的进程，并停止安全工具的关联服务。

其针对的厂商包括Sophos、Microsoft Defender、Kaspersky、Symantec、Trend Micro、SentinelOne、Cylance、 McAfee、F-Secure、HitmanPro和Webroot。

尽管这款新型EDR杀毒工具的不同变体在驱动程序名称、目标反病毒软件和构建特征上存在差异，但它们都使用HeartCrypt进行打包，且有证据表明，即便是相互竞争的威胁团伙之间也存在知识和工具共享。

Sophos特别指出，该工具不太可能是被泄露后再被其他威胁者复用，而更可能是通过一个共享协作框架开发的。需要明确的是，并非是某个EDR的单一二进制文件被泄露后在威胁者之间共享，而是每次攻击都使用了这款专有工具的不同构建版本。这种工具共享策略，尤其是在EDR杀毒方面，在勒索软件领域十分常见。

除了EDRKillShifter，Sophos还发现了另一个名为AuKill的工具，已被Medusa Locker和LockBit用于攻击中。SentinelOne去年也曾报告，FIN7黑客将其定制的“AvNeutralizer”工具出售给多个勒索软件团伙，包括BlackBasta、AvosLocker、MedusaLocker、BlackCat、Trigona和LockBit。