PoorTry/BurntCigar
A kiberfenyegetésekkel foglalkozó táj szemtanúja volt a PoorTry, egy kernel módú Windows-illesztőprogram fejlődésének, amely pusztítóbb fordulatot vett. Az eredetileg a végpontészlelési és válaszadási (EDR) megoldások letiltására tervezett PoorTry mára EDR-törlővé vált. Ez az evolúció lehetővé teszi a zsarolóvírus-bandák számára, hogy töröljék a biztonsági szoftverek működése szempontjából kulcsfontosságú fájlokat, védtelenné téve a rendszereket, és sokkal nehezebbé téve a helyreállítást.
Tartalomjegyzék
A PoorTry evolúciója: A deaktiválástól a pusztulásig
A PoorTry, más néven „BurntCigar”, 2021-es megalakulása óta jelentős eszköz a zsarolóvírus-csoportok arzenáljában. Kezdetben az EDR és más biztonsági intézkedések letiltására fejlesztették ki. Idővel hírhedt ransomware bandák használták, köztük a BlackCat , a Cuba és a LockBit . Fejlesztése jelentős mérföldkőhöz érkezett, amikor készítői kihasználták a Microsoft tanúsítvány-aláírási folyamatát, lehetővé téve a rosszindulatú illesztőprogramok aláírását és hatékonyabb használatát.
2022-ben és 2023-ban a PoorTry tovább fejlődött, javítva az észlelés elkerülésére irányuló képességét.A VMProtect , a Themida és az ASMGuard elhomályosító eszközök beépítésével ügyesebben tudta elrejteni rosszindulatú szándékait. A leginkább aggasztó fejlesztés azonban 2024 júliusában történt, amikor a PoorTry az EDR-rendszerek pusztán letiltásáról a teljes törlésre állt át.
Hogyan működik a PoorTry
A PoorTry legújabb iterációja a felhasználói módú összetevőjével kezdődik, amely aprólékosan azonosítja a biztonsági szoftverek telepítési könyvtárait, és pontosan meghatározza a kritikus fájlokat. Ezt az információt ezután továbbítják a kernel módú összetevőhöz, amely a biztonsági folyamatok szisztematikus leállításával és a lényeges fájlok törlésével hajtja végre a támadást.
A PoorTry azon képessége, hogy név vagy típus alapján célozza meg a fájlokat, a működési rugalmasságot növeli, lehetővé téve az EDR-termékek széles spektrumának lefedését. Ez a pontosság biztosítja, hogy csak a legkritikusabb fájlok törlődnek, minimálisra csökkentve a korai felismerés esélyét, miközben maximalizálja a támadás hatását a titkosítási szakaszban.
A PoorTry evolúciójának következményei
Az EDR deaktiválásáról a törlésre való áttérés a zsarolóprogramok szereplői által alkalmazott taktikák jelentős eszkalációját jelenti. Az EDR-rendszerek helyreállításának vagy újraindításának lehetőségének megszüntetésével a támadók vitathatatlanul folytathatják a titkosítást, így a rendszerek sebezhetővé és védtelenné válhatnak.
A kiberbiztonsági cégek, például a Trend Micro és a Sophos erőfeszítései ellenére, amelyek nyomon követték a PoorTry fejlődését, és figyelmeztettek a növekvő képességeire, az eszköz mögött álló fejlesztők következetesen alkalmazkodtak az új védekezési intézkedésekhez. Ez az alkalmazkodóképesség rávilágít arra a folyamatos kihívásra, amellyel a biztonsági szakembereknek szembe kell nézniük az ilyen fejlett fenyegetésekkel szemben.
A PoorTry eltávolítása és a rendszer védelme
Tekintettel a PoorTry agresszív természetére, elengedhetetlen, hogy azonnal intézkedjen, ha azt gyanítja, hogy rendszerét feltörték. Íme egy lépésről lépésre útmutató a PoorTry eltávolításához és a rendszer védelméhez:
- Futtasson teljes rendszerellenőrzést egy kártevő-elhárító programmal : Kezdje el egy jó hírű kártevő-elhárító programmal a rendszer átfogó vizsgálatát. Győződjön meg arról, hogy az alkalmazás naprakész a legújabb fenyegetésdefiníciókkal a PoorTry hatékony észlelése érdekében.
- A fertőzött rendszer elkülönítése : Ha a PoorTry rendszert észleli, izolálja a fertőzött rendszert a hálózatától, hogy megakadályozza a rosszindulatú program további terjedését.
- Távolítsa el a rosszindulatú programokat : Kövesse a kártevő-elhárító program utasításait a PoorTry eltávolításához a rendszerből. Ez magában foglalhatja a fertőzött fájlok karanténba helyezését vagy törlését. Győződjön meg arról, hogy a rosszindulatú program minden nyomát eltüntette.
- A biztonsági szoftver visszaállítása : A PoorTry eltávolítása után előfordulhat, hogy újra kell telepítenie vagy vissza kell állítania az EDR-t és más biztonsági megoldásokat a rendszer védelmének biztosítása érdekében. Ellenőrizze még egyszer, hogy a biztonsági szoftver minden kritikus összetevője sértetlen és működőképes-e.
- Frissítse és erősítse meg rendszerét : tartsa naprakészen operációs rendszerét, alkalmazásait és biztonsági szoftvereit. Alkalmazzon további biztonsági intézkedéseket, például hálózatszegmentálást és többtényezős hitelesítést, hogy csökkentse a jövőbeli támadások kockázatát.
- További fenyegetések figyelése : Folytassa a rendszer figyelését az újrafertőződés vagy más gyanús tevékenység jelei miatt. Legyen éber, és legyen proaktív a biztonsági javítások és frissítések alkalmazásakor.
A PoorTry EDR-törlővé való fejlődése az agresszió új szintjét jelzi a ransomware-bandák taktikájában. Ha megérti, hogyan működik ez a rosszindulatú program, és gyorsan megteszi az eltávolítását, megvédheti rendszerét a további károktól. Használjon megbízható kártevő-elhárító programot a PoorTry észlelésére és kiküszöbölésére, és biztosítsa, hogy biztonsági védelme elég erős ahhoz, hogy ellenálljon a jövőbeli fenyegetéseknek. Maradjon egy lépéssel a kiberbűnözés elleni, folyamatosan változó küzdelemben.
PoorTry/BurntCigar videó
Tipp: Kapcsolja BE a hangot, és nézze meg a videót teljes képernyős módban .