登录

会员权益

获取需求

查看名片

专属客服

尊贵标识

VIP低至1.5U/天

恶意驱动程序PoorTry被用于抹除EDR系统主要组件

分享

支付動態

2024-08-29

研究人员揭露最新一波恶意驱动程序PoorTry攻击行动,值得留意的是,黑客利用这支驱动程序抹除EDR系统的EXE及DLL文件,导致EDR难以恢复运作

攻击者使用含有弱点的驱动程序,从而得到系统内核层级的权限,干扰杀毒软件或EDR运作,其中一种被勒索软件黑客利用的驱动程序PoorTry(或叫做BurntCigar),最近被发现更具破坏威力。

资安业者Sophos在今年7月的勒索软件RansomHub攻击行动里,看到黑客试图加密电脑文件,而被他们的端点防护机制CryptoGuard拦截。研究人员在事件调查的过程中,发现黑客在数台电脑部署PoorTry及加载工具StoneStop,而这些新版恶意工具与过往最大的差异,在于阻扰端点防护系统运作的方式。

研究人员指出,这起攻击行动的过程里,黑客利用这种恶意驱动程序来破坏EDR系统的运作,像是移除或是窜改内核通知功能,他们总共看到7个设备输入和输出控制(IOCTL)代码发送到EDR内核模式的组件,然后利用EDR Killer的功能终止相关处理进程,并抹除这类系统的重要EXE、DLL文件,使得EDR系统无法再度运作。

他们特别提及,去年趋势科技发现的PoorTry其实已纳入相关的破坏功能,但直到这起攻击行动才实际运用。

针对这样的态势,研究人员指出,PoorTry发展至今,已从原本单纯让杀毒软件、EDR与系统脱钩的工具,发展成类似Rootkit的恶意软件,不只能对于控制低级操作系统功能的API进行控制,也可以直接从磁盘破坏EDR系统,从而为勒索软件的加密工作铺平道路。目前他们已确认有5个勒索软件黑客组织使用这项工具,这些组织是:BlackCat、Cuba、LockBit、Medusa、RansomHub。

此恶意驱动程序最早在2022年底由资安业者Mandiant、Sophos、SentinelOne不约而同发现,趋势科技隔年发现勒索软件黑客BlackCat用于另一波的行动,并指出黑客为该驱动程序加入许多新功能。

免责声明:
详情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu