poortry
Ricerche sulle CyberMinacce

L’aggiornamento di uno strumento di attacco compromette i computer Windows

Un EDR killer che Sophos X-Ops ha monitorato per tre anni continua a tormentare le organizzazioni prese di mira dalle bande di ransomware

Nel 2022 e nel 2023, Sophos X-Ops ha pubblicato una ricerca su un set di strumenti per sabotare le funzioni del software di protezione degli endpoint che veniva sviluppato e utilizzato in associazione da diverse grandi bande di ransomware. Mandiant aveva precedentemente chiamato questo strumento Poortry e la sua applicazione di caricamento Stonestop.

I creatori dello strumento Poortry erano riusciti a far firmare driver a livello di kernel personalizzati e costruiti ad hoc attraverso il processo di firma degli attestati di Microsoft. Dopo che abbiamo pubblicato la nostra ricerca e Microsoft ha chiuso la falla che consentiva la firma di questi driver, i creatori dello strumento non si sono fermati. Hanno continuato ad aggiungere caratteristiche e funzionalità al driver Poortry, nel tentativo continuo di eludere il rilevamento e di trovare nuovi modi per disabilitare l’EDR e il software di protezione degli endpoint.

Per spiegare le nuove funzioni di Poortry, esaminiamo come i driver interagiscono con il sistema operativo e come gli sviluppatori di questo EDR killer hanno perfezionato il loro strumento nel tempo.

In che modo i driver di Windows possono sabotare la protezione

La maggior parte degli EDR killer si basa sul caricamento di un driver di dispositivo nel kernel del sistema operativo, che dà accesso a funzionalità di basso livello per poter disattivare e interrompere vari tipi di software di protezione.

In Windows, che supporta una moltitudine di periferiche e componenti collegati, i driver in modalità kernel hanno un’ampia libertà di scelta per questo tipo di funzioni di basso livello. In circostanze normali, questi driver non dovrebbero interagire con software o hardware di altre aziende o produttori, ma non esiste una imposizione di questo comportamento. Pertanto, se un driver legittimo firmato non convalida correttamente i processi che interagiscono con esso, i killer EDR possono sfruttare alcune delle sue caratteristiche per rimuovere le misure di protezione.

Continua a leggere.

Lascia un commento

Your email address will not be published. Required fields are marked *