PoorTry/BurntCigar
Bối cảnh đe dọa mạng đã chứng kiến sự phát triển của PoorTry, một trình điều khiển Windows chế độ hạt nhân đã có bước ngoặt mang tính hủy diệt hơn. Được thiết kế ban đầu để vô hiệu hóa các giải pháp Phát hiện và Phản hồi Điểm cuối (EDR), PoorTry hiện đã trở thành một trình xóa EDR. Sự phát triển này cho phép các băng nhóm ransomware xóa các tệp quan trọng đối với hoạt động của phần mềm bảo mật, khiến hệ thống không có khả năng phòng thủ và khiến việc khôi phục trở nên khó khăn hơn nhiều.
Mục lục
Sự tiến hóa của PoorTry: Từ vô hiệu hóa đến phá hủy
PoorTry, còn được gọi là "BurntCigar", là một công cụ quan trọng trong kho vũ khí của các nhóm ransomware kể từ khi thành lập vào năm 2021. Ban đầu, nó được phát triển để vô hiệu hóa EDR và các biện pháp bảo mật khác. Theo thời gian, nó đã được các băng đảng ransomware khét tiếng sử dụng, bao gồm BlackCat , Cuba và LockBit . Sự phát triển của nó đã đạt đến một cột mốc đáng chú ý khi những người tạo ra nó khai thác quy trình ký xác thực của Microsoft, cho phép các trình điều khiển độc hại được ký và sử dụng với hiệu quả cao hơn.
Trong suốt năm 2022 và 2023, PoorTry tiếp tục phát triển, tăng cường khả năng trốn tránh phát hiện. Bằng cách kết hợp các công cụ che giấu nhưVMProtect , Themida và ASMGuard, nó trở nên thành thạo hơn trong việc che giấu ý định độc hại của mình. Tuy nhiên, sự phát triển đáng lo ngại nhất xảy ra vào tháng 7 năm 2024 khi PoorTry chuyển từ việc chỉ vô hiệu hóa các hệ thống EDR sang xóa sổ hoàn toàn.
PoorTry hoạt động như thế nào
Phiên bản mới nhất của PoorTry bắt đầu với thành phần chế độ người dùng, thành phần này xác định tỉ mỉ các thư mục cài đặt phần mềm bảo mật và xác định các tệp quan trọng. Thông tin này sau đó được chuyển tiếp đến thành phần chế độ hạt nhân, thành phần này thực hiện cuộc tấn công bằng cách chấm dứt một cách có hệ thống các quy trình bảo mật và xóa các tệp cần thiết.
Khả năng nhắm mục tiêu tệp theo tên hoặc loại của PoorTry bổ sung thêm một lớp linh hoạt về mặt hoạt động, cho phép nó bao phủ một phổ rộng các sản phẩm EDR. Độ chính xác này đảm bảo rằng chỉ những tệp quan trọng nhất mới bị xóa, giảm thiểu khả năng phát hiện sớm đồng thời tối đa hóa tác động của cuộc tấn công trong giai đoạn mã hóa.
Những hàm ý của sự tiến hóa của PoorTry
Sự thay đổi từ hủy kích hoạt EDR sang xóa dữ liệu thể hiện sự leo thang có ý nghĩa trong các chiến thuật được sử dụng bởi các tác nhân ransomware. Bằng cách loại bỏ khả năng khôi phục hoặc khởi động lại hệ thống EDR, kẻ tấn công có thể tiến hành mã hóa mà không bị thách thức, khiến hệ thống dễ bị tấn công và không có khả năng phòng thủ.
Bất chấp những nỗ lực của các công ty an ninh mạng như Trend Micro và Sophos, những công ty đã theo dõi sự phát triển của PoorTry và cảnh báo về khả năng ngày càng tăng của nó, các nhà phát triển đằng sau công cụ này vẫn liên tục thích nghi với các biện pháp phòng thủ mới. Khả năng thích ứng này nhấn mạnh thách thức liên tục mà các chuyên gia bảo mật phải đối mặt trong việc đi trước các mối đe dọa tiên tiến như vậy.
Làm thế nào để loại bỏ PoorTry và bảo vệ hệ thống của bạn
Do tính chất hung hăng của PoorTry, điều cần thiết là phải hành động ngay lập tức nếu bạn nghi ngờ hệ thống của mình đã bị xâm phạm. Sau đây là hướng dẫn từng bước để loại bỏ PoorTry và bảo vệ hệ thống của bạn:
- Chạy Quét toàn bộ hệ thống bằng Chương trình chống phần mềm độc hại : Bắt đầu bằng cách sử dụng chương trình chống phần mềm độc hại có uy tín để thực hiện quét toàn diện hệ thống của bạn. Đảm bảo rằng ứng dụng được cập nhật với các định nghĩa mối đe dọa mới nhất để phát hiện PoorTry hiệu quả.
- Cô lập hệ thống bị nhiễm : Nếu phát hiện PoorTry, hãy cô lập hệ thống bị nhiễm khỏi mạng của bạn để ngăn chặn phần mềm độc hại lây lan thêm.
- Xóa phần mềm độc hại : Thực hiện theo hướng dẫn của chương trình chống phần mềm độc hại để xóa PoorTry khỏi hệ thống của bạn. Điều này có thể bao gồm việc cách ly hoặc xóa các tệp bị nhiễm. Đảm bảo rằng mọi dấu vết của phần mềm độc hại đã được loại bỏ.
- Khôi phục phần mềm bảo mật của bạn : Sau khi xóa PoorTry, bạn có thể cần cài đặt lại hoặc khôi phục EDR và các giải pháp bảo mật khác để đảm bảo hệ thống của bạn được bảo vệ. Kiểm tra lại xem tất cả các thành phần quan trọng của phần mềm bảo mật của bạn có còn nguyên vẹn và hoạt động không.
- Cập nhật và củng cố hệ thống của bạn : Luôn cập nhật hệ điều hành, ứng dụng và phần mềm bảo mật. Áp dụng các biện pháp bảo mật bổ sung, chẳng hạn như phân đoạn mạng và xác thực đa yếu tố, để giảm nguy cơ bị tấn công trong tương lai.
- Giám sát các mối đe dọa tiếp theo : Tiếp tục giám sát hệ thống của bạn để tìm bất kỳ dấu hiệu tái nhiễm hoặc hoạt động đáng ngờ nào khác. Luôn cảnh giác và chủ động áp dụng các bản vá và cập nhật bảo mật.
Sự tiến hóa của PoorTry thành một trình xóa EDR đánh dấu một cấp độ hung hăng mới trong chiến thuật của các băng nhóm ransomware. Bằng cách hiểu cách phần mềm độc hại này hoạt động và thực hiện hành động nhanh chóng để loại bỏ nó, bạn có thể bảo vệ hệ thống của mình khỏi những thiệt hại tiếp theo. Sử dụng một chương trình chống phần mềm độc hại đáng tin cậy để phát hiện và loại bỏ PoorTry và đảm bảo rằng các biện pháp phòng thủ bảo mật của bạn đủ mạnh để chống lại các mối đe dọa trong tương lai. Luôn đi trước một bước trong cuộc chiến chống lại tội phạm mạng luôn thay đổi.
PoorTry/BurntCigar Video
Mẹo: BẬT âm thanh của bạn và xem video ở chế độ Toàn màn hình .