PoorTry Windows 驱动程序进化为功能齐全的 EDR 擦除器

多个勒索软件团伙用来关闭端点检测和响应 (EDR) 解决方案的恶意 PoorTry 内核模式 Windows 驱动程序已演变为 EDR 擦除器，它会删除对安全解决方案运行至关重要的文件，并使恢复变得更加困难。

趋势科技自 2023 年 5 月起就已警告过 Poortry 驱动程序添加了此功能（https://www.trendmicro.com/de_de/research/23/e/blackcat-ransomware-deploys-new-signed-kernel-driver.html），Sophos 现已确认在野外看到了 EDR 擦除攻击。

PoorTry 从 EDR 停用器演变为 EDR 擦除器，代表了勒索软件参与者在策略上非常激进的转变，他们现在优先考虑更具破坏性的设置阶段，以确保在加密阶段获得更好的结果。

PoorTry，也称为“BurntCigar”，于 2021 年开发，作为内核模式驱动程序，用于禁用 EDR 和其他安全软件。

该工具包被 BlackCat、Cuba 和 LockBit 等多个勒索软件团伙使用，最初引起人们关注是因为其开发人员找到了通过 Microsoft 的认证签名流程对其恶意驱动程序进行签名的方法。其他网络犯罪团伙（如 Scattered Spider）也被发现使用该工具实施以凭证盗窃和 SIM 卡交换攻击为重点的入侵活动。

在 2022 年和 2023 年期间，Poortry不断发展，优化其代码并使用 VMProtect、Themida 和 ASMGuard 等混淆工具来打包驱动程序及其加载器（Stonestop）以进行逃避检测。

擦除器的进化

Sophos 的最新报告（https://news.sophos.com/en-us/2024/08/27/burnt-cigar-2/）基于2024 年 7 月的 RansomHub 攻击，该攻击利用 Poortry 删除关键的可执行文件 (EXE)、动态链接库 (DLL) 和安全软件的其他重要组件。

这确保了 EDR 软件无法被防御者恢复或重新启动，从而使系统在攻击的后续加密阶段完全不受保护。

该过程从 PoorTry 的用户模式组件开始，识别安全软件的安装目录和这些目录中的关键文件。

然后，它向内核模式组件发送请求，系统地终止与安全相关的进程，然后删除其关键文件。

这些文件的路径被硬编码到 PoorTry 上，而用户模式组件支持按文件名或类型删除，从而赋予它一定的操作灵活性，以覆盖更广泛的 EDR 产品。

按文件类型删除功能，来源：Sophos

该恶意软件可以进行微调，仅删除对 EDR 操作至关重要的文件，从而避免在攻击危险的初始阶段产生不必要的告警从而引发关注。

Sophos 还指出，最新的 Poortry 变种采用签名时间戳操作来绕过 Windows 上的安全检查，并使用来自其他软件（如 Tonec Inc. 的 Internet Download Manager）的元数据。

驱动程序属性，来源：Sophos

攻击者采用了一种被称为“证书轮盘”的策略，他们部署使用不同证书签名的相同有效载荷的多个变体，以增加至少一个成功执行的机会。

用于签署 Poortry 驱动程序的各种证书，来源：Sophos

尽管人们努力追踪 PoorTry 的演变并阻止其生效，但该工具的开发人员已经表现出了适应新防御措施的非凡能力。

EDR 擦除功能使该工具在应对攻击方面比防御者更具优势，但也可能为在加密前阶段检测攻击提供新的机会。

参考链接：

https://www.bleepingcomputer.com/news/security/poortry-windows-driver-evolves-into-a-full-featured-edr-wiper/

讲述普通人能听懂的安全故事