PoorTry/BurntCigar
چشم انداز تهدیدات سایبری شاهد تکامل PoorTry، یک درایور ویندوز با حالت هسته بوده است که چرخش مخرب تری به خود گرفته است. PoorTry در ابتدا برای غیرفعال کردن راه حل های تشخیص و پاسخ نقطه پایانی (EDR) طراحی شده بود، اکنون به یک برف پاک کن EDR تبدیل شده است. این تکامل به گروههای باجافزار اجازه میدهد فایلهای حیاتی برای عملیات نرمافزار امنیتی را حذف کنند، سیستمها را بیدفاع کرده و بازیابی را بسیار چالشبرانگیزتر کند.
فهرست مطالب
تکامل PoorTry: از غیرفعال کردن تا نابودی
PoorTry که با نام مستعار خود "BurntCigar" نیز شناخته می شود، از زمان آغاز به کار خود در سال 2021، ابزار مهمی در زرادخانه گروه های باج افزار بوده است. در ابتدا، برای غیرفعال کردن EDR و سایر اقدامات امنیتی توسعه داده شد. با گذشت زمان، باج افزارهای بدنام از جمله BlackCat ، Cuba و LockBit از آن استفاده کردند. توسعه آن زمانی به نقطه عطف قابل توجهی رسید که سازندگان آن از فرآیند امضای گواهی مایکروسافت سوء استفاده کردند و اجازه دادند درایورهای مخرب امضا شوند و با کارایی بیشتری مورد استفاده قرار گیرند.
در طول سالهای 2022 و 2023، PoorTry به تکامل خود ادامه داد و توانایی خود را برای فرار از تشخیص افزایش داد. با استفاده از ابزارهای مبهم سازی مانندVMProtect ، Themida و ASMGuard، در پنهان کردن اهداف مخرب خود مهارت بیشتری پیدا کرد. با این حال، نگرانکنندهترین توسعه در ژوئیه 2024 رخ داد، زمانی که PoorTry از صرفاً غیرفعال کردن سیستمهای EDR به حذف کامل آنها روی آورد.
PoorTry چگونه کار می کند
آخرین نسخه از PoorTry با مؤلفه حالت کاربر شروع می شود، که با دقت فهرست های نصب نرم افزار امنیتی را شناسایی می کند و فایل های مهم را مشخص می کند. سپس این اطلاعات به مؤلفه kernel-mode منتقل میشود، که با خاتمه سیستماتیک فرآیندهای امنیتی و حذف فایلهای ضروری، حمله را اجرا میکند.
توانایی PoorTry برای هدفگیری فایلها بر اساس نام یا نوع، لایهای از انعطافپذیری عملیاتی را اضافه میکند و آن را قادر میسازد تا طیف وسیعی از محصولات EDR را پوشش دهد. این دقت تضمین میکند که فقط حیاتیترین فایلها حذف میشوند و شانس تشخیص زودهنگام را به حداقل میرساند و در عین حال تأثیر حمله را در مرحله رمزگذاری به حداکثر میرساند.
پیامدهای تکامل PoorTry
تغییر از غیرفعال کردن EDR به پاک کردن، تشدید معنیداری را در تاکتیکهای به کار گرفته شده توسط بازیگران باجافزار نشان میدهد. با حذف توانایی بازیابی یا راهاندازی مجدد سیستمهای EDR، مهاجمان میتوانند رمزگذاری را بدون چالش انجام دهند و سیستمها را آسیبپذیر و بیدفاع کنند.
علیرغم تلاشهای شرکتهای امنیت سایبری مانند Trend Micro و Sophos که تکامل PoorTry را دنبال کرده و در مورد قابلیتهای فزاینده آن هشدار دادهاند، توسعهدهندگان پشت این ابزار به طور مداوم با اقدامات دفاعی جدید سازگار شدهاند. این سازگاری بر چالش مستمری که متخصصان امنیتی با آن مواجه هستند تا در برابر چنین تهدیدهای پیشرفته ای با آن مواجه شوند، تاکید می کند.
چگونه PoorTry را حذف کرده و از سیستم خود محافظت کنید
با توجه به ماهیت تهاجمی PoorTry، اگر مشکوک هستید که سیستم شما به خطر افتاده است، ضروری است که فوراً اقدام کنید. در اینجا یک راهنمای گام به گام برای حذف PoorTry و محافظت از سیستم شما آورده شده است:
- اجرای یک اسکن کامل سیستم با یک برنامه ضد بدافزار : با استفاده از یک برنامه ضد بدافزار معتبر برای انجام یک اسکن جامع از سیستم خود شروع کنید. اطمینان حاصل کنید که برنامه با آخرین تعاریف تهدید به روز است تا PoorTry را به طور موثر شناسایی کند.
- سیستم آلوده را ایزوله کنید : اگر PoorTry شناسایی شد، سیستم آلوده را از شبکه خود جدا کنید تا از گسترش بیشتر بدافزار جلوگیری کنید.
- حذف بدافزار : دستورالعمل های برنامه ضد بدافزار را دنبال کنید تا PoorTry را از سیستم خود حذف کنید. این ممکن است شامل قرنطینه یا حذف فایل های آلوده باشد. اطمینان حاصل کنید که تمام آثار بدافزار از بین رفته است.
- نرم افزار امنیتی خود را بازیابی کنید : پس از حذف PoorTry، ممکن است لازم باشد EDR و سایر راه حل های امنیتی خود را دوباره نصب یا بازیابی کنید تا از محافظت از سیستم خود اطمینان حاصل کنید. دوبار بررسی کنید که همه اجزای حیاتی نرم افزار امنیتی شما دست نخورده و کار کنند.
- سیستم خود را به روز کنید و سخت کنید : سیستم عامل، برنامه ها و نرم افزارهای امنیتی خود را به روز نگه دارید. اقدامات امنیتی اضافی مانند تقسیم بندی شبکه و احراز هویت چند عاملی را برای کاهش خطر حملات آینده اعمال کنید.
- نظارت بر تهدیدهای بیشتر : به نظارت بر سیستم خود برای هرگونه علائم عفونت مجدد یا سایر فعالیت های مشکوک ادامه دهید. مراقب باشید و در اعمال وصلههای امنیتی و بهروزرسانیها فعال باشید.
تکامل PoorTry به پاککن EDR سطح جدیدی از تهاجمی را در تاکتیکهای گروههای باجافزار نشان میدهد. با درک نحوه عملکرد این بدافزار و اقدام سریع برای حذف آن، می توانید سیستم خود را از آسیب بیشتر محافظت کنید. از یک برنامه ضد بدافزار قابل اعتماد برای شناسایی و از بین بردن PoorTry استفاده کنید و اطمینان حاصل کنید که دفاع امنیتی شما به اندازه کافی قوی است تا در برابر تهدیدات آینده مقاومت کند. در نبرد همیشه در حال تغییر علیه جرایم سایبری یک قدم جلوتر بمانید.
PoorTry/BurntCigar ویدیو
نکته: صدای خود را روشن کنید و ویدیو را در حالت تمام صفحه تماشا کنید .