Çok sayıda fidye yazılımı çetesinin Uç Nokta Algılama ve Müdahale (EDR) çözümlerini kapatmak için kullandığı kötü amaçlı PoorTry çekirdek modu Windows sürücüsü, güvenlik çözümlerinin çalışması için hayati önem taşıyan dosyaları silen ve geri yüklemeyi zorlaştıran bir EDR temizleyicisine dönüştü.
Trend Micro, Mayıs 2023’ten bu yana Poortry’ye eklenen bu işlevsellik konusunda uyarıda bulunmuş olsa da Sophos, EDR temizleme saldırılarını gerçek hayatta gördüğünü doğruladı.
PoorTry’ın EDR devre dışı bırakıcıdan EDR temizleyiciye dönüşmesi, şifreleme aşamasında daha iyi sonuçlar elde etmek için artık daha yıkıcı bir kurulum aşamasına öncelik veren fidye yazılımı aktörleri tarafından taktiklerde çok agresif bir değişikliği temsil ediyor.
PoorTry, ‘BurntCigar’ olarak da bilinir ve 2021 yılında EDR ve diğer güvenlik yazılımlarını devre dışı bırakmak için bir çekirdek modu sürücüsü olarak geliştirildi.
BlackCat, Cuba ve LockBit gibi çeşitli fidye yazılımı çeteleri tarafından kullanılan kit, geliştiricileri kötü amaçlı sürücülerini Microsoft’un tasdik imzalama süreci aracılığıyla imzalamanın yollarını bulduklarında ilk kez dikkat çekti. Scattered Spider gibi diğer siber suç gruplarının da kimlik bilgisi hırsızlığı ve SIM takası saldırılarına odaklanan ihlallerde aracı kullandığı görüldü.
Poortry, 2022 ve 2023 boyunca kodunu optimize ederek ve sürücüyü ve yükleyicisini (Stonestop) kaçınmak için VMProtect, Themida ve ASMGuard gibi karartma araçlarını kullanarak gelişmeye devam etti.
Bir sileceğe doğru evrim
Sophos’un son raporu, Temmuz 2024’te Poortry’nin kritik yürütülebilir dosyaları (EXE’ler), dinamik bağlantı kitaplıklarını (DLL’ler) ve güvenlik yazılımının diğer temel bileşenlerini silmek için kullanıldığı bir RansomHub saldırısına dayanıyor.
Bu, EDR yazılımının savunmacılar tarafından kurtarılamamasını veya yeniden başlatılamamasını sağlar ve saldırının bir sonraki şifreleme aşamasında sistemi tamamen korumasız bırakır.
Süreç, PoorTry’nin kullanıcı modu bileşeninin güvenlik yazılımının kurulum dizinlerini ve bu dizinlerdeki kritik dosyaları belirlemesiyle başlar.
Daha sonra çekirdek modu bileşenine güvenlikle ilgili işlemleri sistematik olarak sonlandırmak ve önemli dosyalarını silmek için istekler gönderir.
Bu dosyalara giden yollar PoorTry’a sabit kodlanmıştır; kullanıcı modu bileşeni ise dosya adına veya türüne göre silmeyi destekler ve bu da daha geniş bir EDR ürün yelpazesini kapsayacak şekilde operasyonel esneklik sağlar.
Kötü amaçlı yazılım, yalnızca EDR’nin çalışması için kritik öneme sahip dosyaları silecek şekilde ince ayarlanabiliyor ve böylece saldırının riskli ilk aşamalarında gereksiz gürültünün önüne geçiliyor.
Sophos ayrıca en son Poortry sürümlerinin Windows’taki güvenlik kontrollerini atlatmak için imza zaman damgası manipülasyonu kullandığını ve Tonec Inc. tarafından geliştirilen Internet Download Manager gibi diğer yazılımların meta verilerini kullandığını belirtiyor.
Saldırganların, “sertifika ruleti” olarak bilinen bir taktik kullandıkları görüldü. Bu taktikte, en azından birinin başarılı bir şekilde yürütülme şansını artırmak için aynı yükün farklı sertifikalarla imzalanmış birden fazla çeşidini dağıtıyorlar.
PoorTry’ın evrimini izlemek ve etkinliğini durdurmak için yapılan çabalara rağmen, aracın geliştiricileri yeni savunma önlemlerine uyum sağlama konusunda dikkate değer bir yetenek gösterdiler.
EDR silme işlevi, araca saldırılara yanıt veren savunmacılara karşı bir avantaj sağlıyor ancak aynı zamanda şifreleme öncesi aşamada saldırıları tespit etmek için yeni fırsatlar da sağlayabilir.