Nel 2022 e nel 2023, Sophos X-Ops ha pubblicato una ricerca su un set di strumenti per sabotare le funzioni del software di protezione degli endpoint che veniva sviluppato e utilizzato in associazione da diverse grandi bande di ransomware. Mandiant aveva precedentemente chiamato questo strumento Poortry e la sua applicazione di caricamento Stonestop.
I creatori dello strumento Poortry erano riusciti a far firmare driver a livello di kernel personalizzati e costruiti ad hoc attraverso il processo di firma degli attestati di Microsoft. Dopo che abbiamo pubblicato la nostra ricerca e Microsoft ha chiuso la falla che consentiva la firma di questi driver, i creatori dello strumento non si sono fermati. Hanno continuato ad aggiungere caratteristiche e funzionalità al driver Poortry, nel tentativo continuo di eludere il rilevamento e di trovare nuovi modi per disabilitare l’EDR e il software di protezione degli endpoint.
Per spiegare le nuove funzioni di Poortry, esaminiamo come i driver interagiscono con il sistema operativo e come gli sviluppatori di questo EDR killer hanno perfezionato il loro strumento nel tempo.
In che modo i driver di Windows possono sabotare la protezione
La maggior parte degli EDR killer si basa sul caricamento di un driver di dispositivo nel kernel del sistema operativo, che dà accesso a funzionalità di basso livello per poter disattivare e interrompere vari tipi di software di protezione.
In Windows, che supporta una moltitudine di periferiche e componenti collegati, i driver in modalità kernel hanno un’ampia libertà di scelta per questo tipo di funzioni di basso livello. In circostanze normali, questi driver non dovrebbero interagire con software o hardware di altre aziende o produttori, ma non esiste una imposizione di questo comportamento. Pertanto, se un driver legittimo firmato non convalida correttamente i processi che interagiscono con esso, i killer EDR possono sfruttare alcune delle sue caratteristiche per rimuovere le misure di protezione.
Continua a leggere.
Lascia un commento