恶意驱动程序PoorTry被用于抹除EDR系统主要组件
支付動態 · 2024-08-29

研究人员揭露最新一波恶意驱动程序PoorTry攻击行动,值得留意的是,黑客利用这支驱动程序抹除EDR系统的EXE及DLL文件,导致EDR难以恢复运作

攻击者使用含有弱点的驱动程序,从而得到系统内核层级的权限,干扰杀毒软件或EDR运作,其中一种被勒索软件黑客利用的驱动程序PoorTry(或叫做BurntCigar),最近被发现更具破坏威力。

资安业者Sophos在今年7月的勒索软件RansomHub攻击行动里,看到黑客试图加密电脑文件,而被他们的端点防护机制CryptoGuard拦截。研究人员在事件调查的过程中,发现黑客在数台电脑部署PoorTry及加载工具StoneStop,而这些新版恶意工具与过往最大的差异,在于阻扰端点防护系统运作的方式。

研究人员指出,这起攻击行动的过程里,黑客利用这种恶意驱动程序来破坏EDR系统的运作,像是移除或是窜改内核通知功能,他们总共看到7个设备输入和输出控制(IOCTL)代码发送到EDR内核模式的组件,然后利用EDR Killer的功能终止相关处理进程,并抹除这类系统的重要EXE、DLL文件,使得EDR系统无法再度运作。

他们特别提及,去年趋势科技发现的PoorTry其实已纳入相关的破坏功能,但直到这起攻击行动才实际运用。

针对这样的态势,研究人员指出,PoorTry发展至今,已从原本单纯让杀毒软件、EDR与系统脱钩的工具,发展成类似Rootkit的恶意软件,不只能对于控制低级操作系统功能的API进行控制,也可以直接从磁盘破坏EDR系统,从而为勒索软件的加密工作铺平道路。目前他们已确认有5个勒索软件黑客组织使用这项工具,这些组织是:BlackCat、Cuba、LockBit、Medusa、RansomHub。

此恶意驱动程序最早在2022年底由资安业者Mandiant、Sophos、SentinelOne不约而同发现,趋势科技隔年发现勒索软件黑客BlackCat用于另一波的行动,并指出黑客为该驱动程序加入许多新功能。

热门文章
新泽西州7月博彩收入创6.06亿美元新高,颁布禁令
游戏风向
巴西颁布新法赋权央行封锁非法博彩账户及 Pix 交易
支付动态
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
越南在线博彩业政策收紧 催生市场新机遇
东南亚资讯
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
哈萨克斯坦计划对在线赌场促销活动进行处罚
游戏风向
印度最高法院受理公益诉讼,要求全国禁封“伪装”成社交游戏的赌博平台
游戏风向
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
张侨伟参议员排除全面禁止,敦促菲律宾规范网络赌博
东南亚资讯
BETFAIR 网络攻击80万用户资料泄露
游戏风向
超级PAC筹资4800万美元:体育博彩势力加码
游戏风向
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
斯里兰卡博弈产业大转型,官方:剑指南亚拉斯维加斯
游戏风向
首页
游戏
合作
发现
我的