Lerbank-bbk22 – shutterstock.com
Sophos-Forscher stellten kürzlich fest, dass das Ransomware-Toolset namens Poortry (oder BurntCigar genannt) bei einem Angriff dazu verwendet wurde, um EDR-Komponenten vollständig zu löschen. Bei früheren Attacken wurde das Tool lediglich dazu benutzt, Prozesse zu beenden.
Trend Micro berichtete bereits im vergangenen Jahr, dass Poortry diese Funktion hinzugefügt hatte. Trotzdem behauptet Sophos, dass die Fähigkeit EDR-Software vollständig zu löschen das erste Mal im Juli genutzt wurde.
Was ist Poortry?
Bei Poortry, das zuerst von Mandiant entdeckt wurde, handelt es sich um einen schädlichen Kernel-Treiber, der in Verbindung mit einem Loader namens Stonestop verwendet wird. Dieser versucht, das Microsoft Driver Signature Enforcement zu umgehen. Sowohl der Treiber als auch der Loader werden durch kommerzielle oder Open-Source-Packer wie VMProtect, Themida oder ASMGuard verschleiert.
Der Treiber versucht, sich zu tarnen, indem er in seinem Property Sheet dieselben Informationen wie ein Treiber für ein kommerziell erhältliches Programm namens Internet Download Manager von Tonec Inc. verwendet. Sophos betont jedoch, dass es sich dabei nicht um den Treiber dieses Softwarepakets handelt. Die Angreifer haben demnach lediglich die Informationen daraus geklont.
Anwender von Poortry
Zu den Ransomware-Banden, die bekanntermaßen Poortry verwenden, gehören laut Sophos
Cuba,
LockBit und
Entwicklung von Poortry
Der Sophos-Report hebt zudem hervor, dass die Entwickler von Poortry neue Features und Funktionen hinzugefügt haben, um die Erkennung zu umgehen. Hintergrund ist, dass Microsoft ein Schlupfloch geschlossen hat, das den Entwicklern von Poortry ermöglichte, benutzerdefinierte Treiber auf Kernel-Ebene zu verwenden. Diese wurden über den Microsoft-Attestation-Signierungsprozess signiert.
Sophos-Forscher haben ferner beobachtet, dass ein Bedrohungsakteur während eines Angriffs Varianten von Poortry auf verschiedenen Computern eingesetzt hat. Diese Varianten enthielten die gleiche Payload, waren aber mit einem anderen Zertifikat signiert als der Treiber, der zuerst während eines Angriffs verwendet wurde.
Im August 2023 drangen die Angreifer beispielsweise zunächst über ein Fernzugriffs-Tool namens SplashTop in ein Unternehmen ein. Sobald die Angreifer im Netzwerk waren, setzten sie Poortry und Stonestop ein. Glücklicherweise war in diesem Fall der Name des Unterzeichners, “bopsoft”, bereits als gestohlenes Zertifikat bekannt und wurde von den Verteidigungssystemen des Zielunternehmens blockiert.
Daraufhin luden die Angreifer einen anderen Poortry-Treiber, der von “Evangel Technology (HK) Limited” unterzeichnet war. Auch dieser Versuch wurde blockiert.
Bei einem anderen Angriff, den Sophos kürzlich untersuchte, war der Poortry-Loader mit einem Zertifikat mit dem Namen “FEI XIAO” signiert und auf Donnerstag, den 8. August datiert. Sophos ist sich “sehr sicher”, dass der Zeitstempel gefälscht wurde.
Was einst ein einfaches Tool war, um “lästige” Endpoint-Schutzkomponenten zu entfernen, hat sich zu einem Schweizer Taschenmesser für bösartige Funktionen entwickelt. “Es bietet praktisch einen unbegrenzten Vorrat an gestohlenen oder missbräuchlich verwendeten Code-Signing-Zertifikaten, um den Schutz der Treibersignaturprüfung zu umgehen”, erklären die Security-Analysten.
Laut Sophos hat sich Poortry nicht nur zu einem EDR-Killer entwickelt, sondern auch zu einer Art Rootkit, das eine Reihe von API-Aufrufen zur Steuerung von Low-Level-Betriebssystemfunktionen kontrolliert. (jm)
Sie möchten regelmäig über alles Wichtige rund um Cybersicherheit informiert werden? Unser kostenloser Newsletter liefert Ihnen alles, was Sie wissen müssen.
No Responses