Uç nokta algılama ve yanıtı (EDR) çözümlerini kapatmak için birden fazla fidye yazılımı çetesi tarafından kullanılan kötü niyetli fakir çekirdek modu Windows sürücüsü, güvenlik çözümlerinin çalışması ve restorasyonu zorlaştırması için çok önemli dosyaları silerek bir EDR sileceğine dönüştü.
Trend Micro, Mayıs 2023'ten bu yana Poortry'ye eklenen bu işlevsellik hakkında uyarmış olsa da, Sophos şimdi EDR'nin vahşi doğada Silinme saldırılarını gördüğünü doğruladı.
Bir EDR deaktivatöründen bir EDR sileceke olan bu fakirlik evrimi, şu anda şifreleme aşamasında daha iyi sonuçlar sağlamak için daha yıkıcı bir kurulum aşamasına öncelik veren fidye yazılımı aktörleri tarafından taktiklerde çok agresif bir değişimi temsil ediyor.
'Burntcigar' olarak da bilinen fakirtry, 2021'de EDR ve diğer güvenlik yazılımlarını devre dışı bırakmak için çekirdek modu bir sürücü olarak geliştirildi.
Blackcat, Küba ve Lockbit de dahil olmak üzere çeşitli fidye yazılımı çeteleri tarafından kullanılan kit, geliştiricileri kötü niyetli sürücülerini Microsoft'un onaylama imzalama süreciyle imzalamanın yollarını bulduğunda dikkat çekti. Dağınık örümcek gibi diğer siber suç grupları da, aracı kimlik hırsızlığı ve SIM-Swaying saldırılarına odaklanan ihlallerde kullanırken görüldü.
2022 ve 2023 boyunca, DoorTry gelişmeye devam etti, kodunu optimize etmeye ve sürücüyü ve yükleyicisini (Stonestop) kaçırmak için vmprotect, themida ve asmguard gibi gizleme araçlarını kullanmaya devam etti.
Sophos'un son raporu, Temmuz 2024'te kritik yürütülebilir dosyaları (exes), dinamik bağlantı kütüphanelerini (DLLS) ve güvenlik yazılımının diğer temel bileşenlerini silmek için fakir kullanan bir RansomHub saldırısına dayanıyor.
Bu, EDR yazılımının savunucular tarafından kurtarılmasını veya yeniden başlatılmasını sağlar ve sistemi saldırının aşağıdaki şifreleme aşamasında tamamen korumasız bırakır.
İşlem, güvenlik yazılımının kurulum dizinlerini ve bu dizinler içindeki kritik dosyaları tanımlayarak Nefourtry'nin kullanıcı modu bileşeni ile başlar.
Daha sonra, güvenlik ile ilgili süreçleri sistematik olarak sonlandırmak ve daha sonra önemli dosyalarını silmek için çekirdek modu bileşenine istek gönderir.
Bu dosyalara giden yollar, Doortry'ye sabitlenirken, kullanıcı modu bileşeni dosya adına veya türüne göre silinmeyi destekler ve daha geniş bir EDR ürün yelpazesini kapsayacak şekilde operasyonel esneklik sağlar.
Kötü amaçlı yazılım, yalnızca EDR'nin işlemi için önemli olan dosyaları silmek için ince ayarlanabilir ve saldırının riskli ilk aşamalarında gereksiz gürültüden kaçınabilir.
Sophos ayrıca, en son fakir varyantların Windows'ta güvenlik kontrollerini atlamak ve Meta verileri Tonec Inc.
Saldırganlar, "Sertifika Roullete" olarak bilinen bir taktik kullanıyorlardı, burada en azından birinin başarılı bir şekilde yürütüleceği şanslarını artırmak için farklı sertifikalarla imzalanmış aynı yükün birden fazla varyantını dağıttıklar.
Poortry'nin evrimini izleme ve etkinliğini durdurma çabalarına rağmen, aracın geliştiricileri yeni savunma önlemlerine uyum sağlama konusunda dikkate değer bir yetenek gösterdiler.
EDR silme işlevi, araca saldırılara yanıt veren savunucular üzerinde bir avantaj sağlar, ancak şifreleme öncesi aşamadaki saldırıları tespit etmek için yeni fırsatlar da sağlayabilir.
Ransomware Gang, güvenlik yazılımını öldürmek için yeni kötü amaçlı yazılımları dağıtıyor
Kötü şöhretli Fin7 hackerları EDR katilini diğer tehdit aktörlerine satıyor
Araştırmacı, fidye yazılımıyla çalınan verileri medyayla paylaştığı için dava açtı
FBI: Ransomhub fidye yazılımı Şubat ayından bu yana 210 kurbanı ihlal etti
Ransomhub Ransomware Gang'a bağlı Halliburton Cyberattack
Kaynak: Bleeping Computer