PoorTry/BurntCigar

사이버 위협 환경은 PoorTry의 진화를 목격했습니다. PoorTry는 커널 모드 Windows 드라이버로, 더 파괴적인 방향으로 전환되었습니다. 원래는 EDR(Endpoint Detection and Response) 솔루션을 비활성화하도록 설계되었지만, PoorTry는 이제 EDR 와이퍼가 되었습니다. 이러한 진화로 인해 랜섬웨어 갱단은 보안 소프트웨어 운영에 중요한 파일을 삭제하여 시스템을 무방비 상태로 만들고 복구를 훨씬 더 어렵게 만들 수 있습니다.

PoorTry의 진화: 비활성화에서 파괴로

PoorTry는 "BurntCigar"라는 별칭으로도 알려져 있으며, 2021년 처음 등장한 이래로 랜섬웨어 그룹의 무기고에서 중요한 도구가 되었습니다. 처음에는 EDR 및 기타 보안 조치를 비활성화하기 위해 개발되었습니다. 시간이 지나면서 BlackCat , Cuba , LockBit 을 포함한 악명 높은 랜섬웨어 갱단에서 사용되었습니다. 개발자가 Microsoft의 증명 서명 프로세스를 악용하여 악성 드라이버에 서명하고 더 효과적으로 사용할 수 있게 되면서 개발은 주목할 만한 이정표에 도달했습니다.

2022년과 2023년 내내 PoorTry는 계속해서 진화하여 탐지를 회피하는 능력을 강화했습니다.VMProtect , Themida , ASMGuard와 같은 난독화 도구를 통합함으로써 악의적인 의도를 숨기는 데 더 능숙해졌습니다. 그러나 가장 우려되는 발전은 PoorTry가 EDR 시스템을 단순히 비활성화하는 것에서 완전히 없애는 것으로 전환한 2024년 7월에 발생했습니다.

PoorTry의 작동 방식

PoorTry의 최신 반복은 보안 소프트웨어의 설치 디렉토리를 세심하게 식별하고 중요한 파일을 정확히 찾아내는 사용자 모드 구성 요소로 시작합니다. 그런 다음 이 정보는 커널 모드 구성 요소로 전달되고, 이 구성 요소는 보안 프로세스를 체계적으로 종료하고 필수 파일을 삭제하여 공격을 실행합니다.

PoorTry는 이름이나 유형으로 파일을 타겟팅할 수 있는 기능을 통해 운영상의 유연성을 한 단계 더 높여 광범위한 EDR 제품을 포괄할 수 있습니다. 이러한 정밀성 덕분에 가장 중요한 파일만 삭제되어 암호화 단계에서 공격의 영향을 최대화하는 동시에 조기 감지 가능성을 최소화합니다.

PoorTry의 진화의 의미

EDR 비활성화에서 삭제로의 전환은 랜섬웨어 공격자가 사용하는 전술에서 의미 있는 확대를 나타냅니다. EDR 시스템을 복구하거나 재시작하는 기능을 제거함으로써 공격자는 이의를 제기하지 않고 암호화를 진행할 수 있어 시스템이 취약하고 무방비 상태가 됩니다.

PoorTry의 진화를 추적하고 증가하는 기능에 대해 경고한 Trend Micro와 Sophos와 같은 사이버 보안 회사의 노력에도 불구하고 이 도구의 개발자들은 지속적으로 새로운 방어 수단에 적응해 왔습니다. 이러한 적응성은 보안 전문가가 이러한 고급 위협보다 앞서 나가는 데 직면한 지속적인 과제를 강조합니다.

PoorTry를 제거하고 시스템을 보호하는 방법

PoorTry의 공격적인 특성을 감안할 때, 시스템이 손상되었다고 의심되는 경우 즉각적인 조치를 취하는 것이 필수적입니다. PoorTry를 제거하고 시스템을 보호하기 위한 단계별 가이드는 다음과 같습니다.

  1. 안티 맬웨어 프로그램으로 전체 시스템 검사 실행 : 평판이 좋은 안티 맬웨어 프로그램을 사용하여 시스템을 포괄적으로 검사하는 것으로 시작합니다. PoorTry를 효과적으로 탐지하기 위해 애플리케이션이 최신 위협 정의로 최신 상태인지 확인합니다.
  2. 감염된 시스템 격리 : PoorTry가 감지되면 맬웨어가 더 이상 퍼지는 것을 방지하기 위해 감염된 시스템을 네트워크에서 격리하세요.
  3. 맬웨어 제거 : 맬웨어 방지 프로그램의 지침에 따라 시스템에서 PoorTry를 제거하세요. 여기에는 감염된 파일을 격리하거나 삭제하는 것이 포함될 수 있습니다. 맬웨어의 모든 흔적이 제거되었는지 확인하세요.
  4. 보안 소프트웨어 복원 : PoorTry를 제거한 후 EDR 및 기타 보안 솔루션을 다시 설치하거나 복원하여 시스템이 보호되도록 해야 할 수 있습니다. 보안 소프트웨어의 모든 중요 구성 요소가 손상되지 않고 작동하는지 다시 한 번 확인하세요.
  5. 시스템 업데이트 및 강화 : 운영 체제, 애플리케이션 및 보안 소프트웨어를 최신 상태로 유지하세요. 네트워크 세분화 및 다중 요소 인증과 같은 추가 보안 조치를 적용하여 향후 공격 위험을 줄이세요.
  6. 추가 위협을 모니터링하세요 : 재감염이나 기타 의심스러운 활동의 징후가 있는지 시스템을 계속 모니터링하세요. 경계하고 보안 패치와 업데이트를 적극적으로 적용하세요.

PoorTry가 EDR 와이퍼로 진화하면서 랜섬웨어 갱단의 전술에 새로운 수준의 공격성이 나타났습니다. 이 맬웨어가 어떻게 작동하는지 이해하고 이를 제거하기 위한 신속한 조치를 취하면 시스템이 추가 손상으로부터 보호될 수 있습니다. 신뢰할 수 있는 맬웨어 방지 프로그램을 사용하여 PoorTry를 탐지하고 제거하고 보안 방어가 미래의 위협을 견딜 수 있을 만큼 강력한지 확인하세요. 끊임없이 변화하는 사이버범죄와의 전쟁에서 한 발 앞서 나가세요.

PoorTry/BurntCigar 비디오

팁 : ON 사운드를 켜고 전체 화면 모드에서 비디오를 볼.

트렌드

가장 많이 본

로드 중...