Poortry EDR Killer 不断改进,现在可以清除 Windows 系统中的安全软件

admin 2024年8月28日16:04:50评论30 views字数 1470阅读4分54秒阅读模式

Poortry EDR Killer 不断改进,现在可以清除 Windows 系统中的安全软件

图片:Sophos X-Ops

Sophos X-Ops 最近发布了一份关于恶意工具集 Poortry 最新进展的详细报告,该工具集旨在破坏 Windows 系统上的端点检测和响应 (EDR) 软件。该工具最初由 Mandiant 发现并被称为“Poortry”,其加载程序“Stonestop”自 2022 年以来一直在积极开发中,成为 BlackCat、LockBit 和 Medusa 等几个主要勒索软件组织的重要资产。

最初,Poortry 充当 EDR 杀手,利用 Windows 驱动程序签名强制执行中的漏洞来禁用保护措施。其创建者竭尽全力确保该工具的驱动程序使用合法(尽管经常被盗用)证书进行签名,从而使它们能够绕过 Microsoft 的安全机制。尽管 Microsoft 堵住了允许这些恶意驱动程序签名的漏洞,但 Poortry 的开发人员迅速适应,采用新策略来逃避检测。

Poortry 的最新版本更加先进,其功能远不止禁用 EDR 软件。Sophos 研究人员现已发现,Poortry 可以完全从磁盘中清除安全软件的关键组件,有效地将其转变为一种双重用途的工具,不仅可以禁用 EDR 系统,还可以摧毁该系统。这一演变提高了组织的风险,因为 Poortry 现在通过清除所有障碍为勒索软件攻击铺平了道路。

Sophos 的报告深入分析了 Poortry 在 Windows 生态系统中的运作方式。Poortry 的核心依赖于内核模式驱动程序,这些驱动程序可以广泛访问低级系统功能。这些驱动程序一旦加载到操作系统的内核中,就可以解除挂钩并终止各种保护软件进程,从而使它们失效。

该报告重点介绍了 Poortry 开发人员滥用代码签名的三种主要方法:

  1. 滥用泄露的证书:攻击者使用从合法公司窃取或泄露的证书来签署其驱动程序。

  2. 签名时间戳伪造:通过操作系统中的一系列钩子,攻击者可以通过伪造时间戳来绕过签名验证检查。

  3. 绕过 Microsoft 证明签名:最具挑战性但最有效的方法是将恶意驱动程序直接提交给 Microsoft 的证明签名流程,从而获得合法的 WHQL 证书。

自从微软和 Sophos 在 2022 年曝光 WHQL 证书滥用问题以来,Poortry 的开发人员已转而使用伪造的时间戳和泄露的证书,以确保他们的工具对 EDR 系统仍然有效。

Poortry 进化过程中最令人担忧的进展是其新功能,可以将关键的 EDR 组件从磁盘上擦除。此功能首次出现在 2024 年 7 月的一起事件中,该事件涉及试图部署 RansomHub 勒索软件。在攻击过程中,Sophos CryptoGuard 阻止了勒索软件,但事后分析显示,Poortry 曾试图在最终攻击阶段之前删除重要的安全软件文件。

Sophos 的研究人员发现,Poortry 在删除文件时会采用两种模式:

  • 按类型: Poortry 识别并删除目标目录中特定类型的所有文件。

  • 按名称: Poortry 按名称定位特定文件,从而可以精确消除关键的 EDR 组件。

Poortry 从 EDR 杀手演变为 EDR 擦除器,证明了网络犯罪分子的持久性和适应性。该工具已成为攻击者的瑞士军刀,能够绕过安全措施、禁用保护措施,现在甚至直接摧毁安全软件。随着 Sophos X-Ops 继续监控 Poortry 的发展,很明显组织必须保持警惕,因为该工具的创建者正在不懈地努力完善和扩展其功能。

Sophos X-Ops的详细技术报告:

https://news.sophos.com/en-us/2024/08/27/burnt-cigar-2/?amp=1

原文始发于微信公众号(独眼情报):Poortry EDR Killer 不断改进,现在可以清除 Windows 系统中的安全软件

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月28日16:04:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Poortry EDR Killer 不断改进,现在可以清除 Windows 系统中的安全软件http://cn-sec.com/archives/3104711.html

发表评论

匿名网友 填写信息