Sterownik który stał się EDR wiperem

PoorTry

Piotr Marciniak

8/29/20242 min read

Wprowadzenie

W świecie cyberbezpieczeństwa ciągłe zmiany w taktykach i narzędziach przestępczych są na porządku dziennym. Jednym z najnowszych zagrożeń jest narzędzie Poortry, które początkowo było prostym sterownikiem dla systemów Windows, a teraz ewoluowało w pełnoprawny "wiper" z możliwością unieszkodliwiania narzędzi Endpoint Detection and Response (EDR).

Jak działa Poortry?

Poortry został zaprojektowany do przejęcia kontroli nad systemem poprzez sterownik Windows. W najnowszej wersji, narzędzie to zyskało zdolność do pełnego wymazywania śladów obecności narzędzi EDR, co czyni go wyjątkowo groźnym. Może ono usunąć lub wyłączyć różne mechanizmy ochrony, pozostawiając system bezbronny przed dalszymi atakami. Nowa wersja Poortry została zauważona przez analityków jako szczególnie niebezpieczna ze względu na zdolność do modyfikowania krytycznych komponentów systemu.

Wektor Ataku i Kluczowe Funkcje

  • Bezpośrednie modyfikacje: Poortry może bezpośrednio modyfikować wpisy rejestru oraz pliki systemowe, co pozwala mu na wyłączenie narzędzi EDR.

  • Ukrywanie się: Narzędzie stosuje techniki ukrywania swoich operacji przed detekcją, co znacznie utrudnia wykrycie przez administratorów systemu.

  • Możliwość wymazywania danych: Poortry nie tylko unieszkodliwia narzędzia EDR, ale także może całkowicie wymazać dane z dysków, co czyni go pełnoprawnym wiperem.

Konsekwencje dla Cyberbezpieczeństwa

Rozwój Poortry w pełnoprawne narzędzie do niszczenia danych jest alarmujący, szczególnie dla firm polegających na narzędziach EDR w celu ochrony swoich systemów. Poortry może spowodować ogromne szkody, usuwając nie tylko dane, ale także wszelkie ślady swojej działalności, co utrudnia analizę post-mortem i odbudowę systemów.

Jak się bronić?

Aktualizacje oprogramowania: Regularne aktualizowanie systemów Windows oraz narzędzi EDR jest kluczowe, aby chronić się przed narzędziami takimi jak Poortry.

Segmentacja sieci: Ograniczenie dostępu Poortry do różnych części sieci może pomóc w minimalizacji szkód.

Zwiększona widoczność: Wdrożenie zaawansowanych narzędzi monitorujących, które mogą wykrywać podejrzane działania na poziomie sterowników, jest kluczowe dla wczesnej detekcji takich zagrożeń.

Backup danych: Regularne tworzenie kopii zapasowych i ich przechowywanie offline może uratować firmę przed całkowitą utratą danych w przypadku ataku.

Zaimplementować reguły Yara: Jedna z nich dostępna pod https://malpedia.caad.fkie.fraunhofer.de/details/win.poortry

Źródła oraz dalsza lektura:

https://www.bleepingcomputer.com/news/security/poortry-windows-driver-evolves-into-a-full-featured-edr-wiper/

https://malpedia.caad.fkie.fraunhofer.de/details/win.poortry

https://x.com/Dinosn