PoorTry Windows 驱动程序进化为功能齐全的 EDR 擦除器
多个勒索软件团伙用来关闭端点检测和响应 (EDR) 解决方案的恶意 PoorTry 内核模式 Windows 驱动程序已演变为 EDR 擦除器,删除了对安全解决方案的运行至关重要的文件,并使恢复变得更加困难。
尽管 Trend Micro 自 2023 年 5 月以来就警告过 Poortry 上添加了此功能,但 Sophos 现已确认在野外看到了 EDR 擦除攻击。
PoorTry 从 EDR 停用器演变为 EDR 擦除器,代表了勒索软件参与者在策略上非常激进的转变,他们现在优先考虑更具破坏性的设置阶段,以确保在加密阶段获得更好的结果。
PoorTry,也称为“BurntCigar”,于 2021 年开发,作为内核模式驱动程序,用于禁用 EDR 和其他安全软件。
该套件被多个勒索软件团伙使用,包括 BlackCat、Cuba 和 LockBit,最初引起人们注意是因为其开发人员找到了通过 Microsoft 的认证签名流程对其恶意驱动程序进行签名的方法。其他网络犯罪团伙,如 Scattered Spider也被发现使用该工具实施以凭证盗窃和 SIM 卡交换攻击为重点的入侵。
在 2022 年和 2023 年期间,Poortry 不断发展,优化其代码并使用 VMProtect、Themida 和 ASMGuard 等混淆工具来打包驱动程序及其加载器(Stonestop)以进行逃避检测。
Evolution to a wiper
Sophos 的最新报告基于 2024 年 7 月的 RansomHub 攻击,该攻击利用 Poortry 删除关键的可执行文件 (EXE)、动态链接库 (DLL) 和安全软件的其他重要组件。
这确保了 EDR 软件无法被防御者恢复或重新启动,从而使系统在攻击的后续加密阶段完全不受保护。该过程从 PoorTry 的用户模式组件开始,识别安全软件的安装目录以及这些目录中的关键文件。
然后,它会向内核模式组件发送请求,系统地终止与安全相关的进程,然后删除它们的关键文件。
这些文件的路径被硬编码到 PoorTry 上,而用户模式组件支持按文件名或类型删除,这使其具有一定的操作灵活性,可以覆盖更广泛的 EDR 产品。
按文件类型删除功能
该恶意软件可以进行微调,只删除对 EDR 操作至关重要的文件,从而避免在攻击风险较高的第一阶段产生不必要的噪音。
Sophos 还指出,最新的 Poortry 变体采用签名时间戳操纵来绕过 Windows 上的安全检查,并使用 Tonec Inc. 的 Internet Download Manager 等其他软件的元数据。
驱动程序属性
攻击者采用了一种被称为“证书轮盘”的策略,他们部署使用不同证书签名的相同有效载荷的多个变体,以增加至少一个成功执行的机会。
随着时间的推移,用于签署 Poortry 驱动程序的各种证书
尽管人们努力追踪 PoorTry 的演变并阻止其生效,但该工具的开发人员已经表现出了适应新防御措施的非凡能力。
EDR 擦除功能使该工具在应对攻击方面比防御者更具优势,但也可能为在加密前阶段检测攻击提供新的机会。