PoorTry/BurntCigar
Küberohtude maastik on olnud tunnistajaks tuumarežiimis Windowsi draiveri PoorTry arengule, mis on võtnud hävitavama pöörde. PoorTry, mis oli algselt mõeldud lõpp-punkti tuvastamise ja reageerimise (EDR) lahenduste keelamiseks, on nüüd muutunud EDR-i klaasipuhastiks. See areng võimaldab lunavararühmadel kustutada turvatarkvara toimimise jaoks üliolulisi faile, muutes süsteemid kaitsetuks ja muutes taastamise palju keerulisemaks.
Sisukord
PoorTry areng: desaktiveerimisest hävitamiseni
PoorTry, tuntud ka alias "BurntCigar", on olnud lunavaragruppide arsenalis märkimisväärne tööriist alates selle loomisest 2021. aastal. Algselt töötati see välja EDR-i ja muude turvameetmete keelamiseks. Aja jooksul on seda kasutanud kurikuulsad lunavarajõugud, sealhulgas BlackCat , Cuba ja LockBit . Selle väljatöötamine jõudis märkimisväärse verstapostini, kui selle loojad kasutasid Microsofti tunnistuste allkirjastamise protsessi, võimaldades pahatahtlikke draivereid allkirjastada ja tõhusamalt kasutada.
Aastatel 2022 ja 2023 jätkas PoorTry arengut, suurendades oma võimet tuvastamisest kõrvale hiilida. Lisades hägustamistööriistad naguVMProtect , Themida ja ASMGuard, sai see osavam oma pahatahtlikku kavatsust varjata. Kõige murettekitavam areng toimus aga 2024. aasta juulis, kui PoorTry läks üle pelgalt EDR-süsteemide keelamisest nende täielikule kustutamisele.
Kuidas PoorTry töötab
PoorTry uusim iteratsioon algab selle kasutajarežiimi komponendiga, mis tuvastab hoolikalt turvatarkvara installikataloogid ja määrab kindlaks kriitilised failid. Seejärel edastatakse see teave kerneli režiimi komponendile, mis käivitab rünnaku, lõpetades süstemaatiliselt turbeprotsessid ja kustutades olulised failid.
PoorTry võime sihtida faile nime või tüübi järgi lisab operatiivpaindlikkuse kihi, võimaldades sellel katta laia EDR-toodete spektrit. See täpsus tagab, et kustutatakse ainult kõige kriitilisemad failid, minimeerides varajase avastamise võimalused, maksimeerides samal ajal rünnaku mõju krüpteerimisfaasis.
PoorTry evolutsiooni tagajärjed
Üleminek EDR-i desaktiveerimiselt kustutamisele tähistab lunavarategijate kasutatavate taktikate olulist eskaleerumist. Eemaldades EDR-süsteemide taastamise või taaskäivitamise võimaluse, saavad ründajad krüptimist vaidlustamata jätkata, jättes süsteemid haavatavaks ja kaitsetuks.
Hoolimata küberturbefirmade, nagu Trend Micro ja Sophos, jõupingutustest, mis on jälginud PoorTry arengut ja hoiatanud selle kasvavate võimaluste eest, on selle tööriista taga olevad arendajad järjekindlalt kohanenud uute kaitsemeetmetega. See kohanemisvõime rõhutab pidevat väljakutset, millega turvaspetsialistid seisavad silmitsi selliste arenenud ohtude ees püsimisel.
Kuidas eemaldada PoorTry ja kaitsta oma süsteemi
Arvestades PoorTry agressiivset olemust, on oluline kohe tegutseda, kui kahtlustate, et teie süsteemi on ohustatud. Siin on samm-sammuline juhend PoorTry eemaldamiseks ja süsteemi kaitsmiseks.
- Käivitage täielik süsteemikontroll pahavaratõrjeprogrammiga : alustage oma süsteemi põhjalikuks skannimiseks maineka pahavaratõrjeprogrammiga. PoorTry tõhusaks tuvastamiseks veenduge, et rakendus oleks ajakohastatud uusimate ohumääratlustega.
- Nakatunud süsteemi isoleerimine : kui tuvastatakse PoorTry, isoleerige nakatunud süsteem oma võrgust, et vältida pahavara edasist levikut.
- Eemaldage pahavara : järgige pahavaratõrjeprogrammi juhiseid, et eemaldada PoorTry oma süsteemist. See võib hõlmata nakatunud failide karantiini panemist või kustutamist. Veenduge, et kõik pahavara jäljed on kõrvaldatud.
- Turvatarkvara taastamine : pärast PoorTry eemaldamist peate võib-olla oma EDR-i ja muud turbelahendused uuesti installima või taastama, et tagada oma süsteemi kaitse. Kontrollige veelkord, et kõik teie turbetarkvara olulised komponendid oleksid terved ja töötavad.
- Süsteemi värskendamine ja tugevdamine : hoidke oma operatsioonisüsteem, rakendused ja turbetarkvara ajakohasena. Tulevaste rünnakute riski vähendamiseks rakendage täiendavaid turvameetmeid, nagu võrgu segmenteerimine ja mitmefaktoriline autentimine.
- Jälgige täiendavaid ohte : jätkake oma süsteemi jälgimist, et tuvastada uuesti nakatumise või muu kahtlase tegevuse tunnuseid. Olge valvs ja olge turvapaikade ja värskenduste rakendamisel ennetav.
PoorTry areng EDR-i klaasipuhastiks tähistab uut agressiivsuse taset lunavaratõrjejõukude taktikas. Kui mõistate selle pahavara toimimist ja võtate selle eemaldamiseks kiiresti meetmeid, saate kaitsta oma süsteemi edasiste kahjustuste eest. Kasutage usaldusväärset pahavaratõrjeprogrammi, et tuvastada ja kõrvaldada PoorTry ning tagada, et teie turvameetmed on piisavalt tugevad, et vastu pidada tulevastele ohtudele. Püsige sammu võrra ees pidevalt muutuvas võitluses küberkuritegevuse vastu.
PoorTry/BurntCigar Video
Näpunäide. Lülitage heli sisse ja vaadake videot täisekraanirežiimis .