Hacker destroying box

Endpoint Detection and Response(EDR)ソリューションをオフにするために複数のランサムウェアギャングによって使用されている悪意のあるPoorTryカーネルモードWindowsドライバは、EDRワイパーに進化し、セキュリティソリューションの動作に重要なファイルを削除し、復元を難しくしています。

トレンドマイクロは、2023年5月以降にPoortryに追加されたこの機能について警告していましたが、ソフォスは現在、EDRをワイプする攻撃を実際に確認しています。

PoorTryがEDRの不活性化からEDRのワイパーへと進化したことは、ランサムウェアの行為者による戦術の非常に積極的な転換を意味し、彼らは現在、暗号化の段階でより良い結果を確実にするために、より破壊的なセットアップ段階を優先している。

BurntCigar」としても知られるPoorTryは、EDRやその他のセキュリティソフトウェアを無効にするカーネルモードドライバとして2021年に開発されました。

BlackCat、Cuba、LockBitを含む複数のランサムウェア・ギャングによって使用されているこのキットは、開発者がマイクロソフトの認証署名プロセスを通じて悪意のあるドライバーに署名させる方法を見つけたときに初めて注目を集めた。また、Scattered Spiderのような他のサイバー犯罪グループも、認証情報の窃取やSIMスワッピング攻撃に焦点を当てた侵害において、このツールを利用していることが確認されている。

2022年から2023年にかけて、Poortryは進化を続け、コードを最適化し、VMProtect、Themida、ASMGuardのような難読化ツールを使用して、ドライバとそのローダー(Stonestop)を回避のためにパックした。

ワイパーへの進化

ソフォスによる最新のレポートは、2024年7月に発生したRansomHub攻撃に基づくもので、Poortryを採用し、重要な実行ファイル(EXE)、ダイナミックリンクライブラリ(DLL)、その他のセキュリティソフトウェアの必須コンポーネントを削除しています。

これにより、EDRソフトウェアは防御側によって復元または再起動することができなくなり、攻撃の次の暗号化フェーズではシステムは完全に無防備な状態になります。

このプロセスは、PoorTryのユーザーモードコンポーネントから始まり、セキュリティソフトウェアのインストールディレクトリと、それらのディレクトリ内の重要なファイルを特定します。

その後、カーネルモードコンポーネントにリクエストを送り、セキュリティ関連のプロセスを体系的に終了させ、その重要なファイルを削除します。

これらのファイルへのパスはPoorTryにハードコードされていますが、ユーザーモードコンポーネントはファイル名またはファイルタイプによる削除をサポートしており、より幅広いEDR製品に対応できる柔軟な運用が可能です。

Deleting by file type functionality
ファイルタイプによる削除機能
ソースはこちら:ソフォス

このマルウェアは、EDRの動作に不可欠なファイルのみを削除するように微調整できるため、攻撃の最初の段階で不必要なノイズが発生するのを防ぐことができます。

また、最新の Poortry の亜種は、シグネチャのタイムスタンプを操作して Windows のセキュリティチェックを回避し、Tonec 社の Internet Download Manager のような他のソフトウェアのメタデータを使用することも指摘しています。

Driver properties
Driver properties
ソースはこちら:ソフォス

攻撃者は、少なくとも1つが正常に実行される可能性を高めるために、異なる証明書で署名された同じペイロードの複数の亜種を展開する「証明書ルーラント」として知られる戦術を採用していることが確認されています。

Various certificates used for signing the Poortry driver over time
Poortryドライバの署名に使用された様々な証明書
ソースはこちら:ソフォス

PoorTryの進化を追跡し、その有効性を止めようとする努力にもかかわらず、ツールの開発者は新しい防御手段に適応する驚くべき能力を示している。

EDRワイプ機能は、攻撃に対応する防御者よりもツールの優位性を高めるが、暗号化前の段階で攻撃を検知する新たな機会を提供する可能性もある。