{"id":598,"date":"2024-10-10T20:51:52","date_gmt":"2024-10-10T20:51:52","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=598"},"modified":"2024-10-10T20:51:52","modified_gmt":"2024-10-10T20:51:52","slug":"ransomware-tool-killt-edr-software","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=598","title":{"rendered":"Ransomware-Tool killt EDR-Software"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">Das Ransomware-Toolkit Poortry wurde mit neuen Funktionen ausgestattet, um sich der Erkennung zu entziehen. Es hat sich zu einer Art Rootkit entwickelt.\n<p class=\"imageCredit\">Lerbank-bbk22 \u2013 shutterstock.com<\/p>\n<\/div>\n<p><a href=\"https:\/\/news.sophos.com\/en-us\/2024\/08\/27\/burnt-cigar-2\/\" target=\"_blank\" rel=\"noopener\">Sophos-Forscher<\/a>\u00a0stellten k\u00fcrzlich fest, dass das Ransomware-Toolset namens Poortry (oder BurntCigar genannt) bei einem Angriff dazu verwendet wurde, um\u00a0<a href=\"https:\/\/www.csoonline.com\/de\/a\/edr-und-xdr-bleiben-wichtig,3693465\" target=\"_blank\" rel=\"noopener\">EDR<\/a>-Komponenten vollst\u00e4ndig zu l\u00f6schen. Bei fr\u00fcheren Attacken wurde das Tool lediglich dazu benutzt, Prozesse zu beenden.<\/p>\n<p>Trend Micro berichtete bereits im vergangenen Jahr, dass Poortry diese Funktion hinzugef\u00fcgt hatte. Trotzdem behauptet Sophos, dass die F\u00e4higkeit EDR-Software vollst\u00e4ndig zu l\u00f6schen das erste Mal im Juli genutzt wurde.<\/p>\n<h3 class=\"wp-block-heading\">Was ist Poortry?<\/h3>\n<p>Bei Poortry, das zuerst von Mandiant entdeckt wurde, handelt es sich um einen sch\u00e4dlichen Kernel-Treiber, der in Verbindung mit einem Loader namens Stonestop verwendet wird. Dieser versucht, das Microsoft Driver Signature Enforcement zu umgehen. Sowohl der Treiber als auch der Loader werden durch kommerzielle oder Open-Source-Packer wie VMProtect, Themida oder ASMGuard verschleiert.<\/p>\n<p>Der Treiber versucht, sich zu tarnen, indem er in seinem Property Sheet dieselben Informationen wie ein Treiber f\u00fcr ein kommerziell erh\u00e4ltliches Programm namens Internet Download Manager von Tonec Inc. verwendet. Sophos betont jedoch, dass es sich dabei nicht um den Treiber dieses Softwarepakets handelt. Die Angreifer haben demnach lediglich die Informationen daraus geklont.<\/p>\n<h3 class=\"wp-block-heading\">Anwender von Poortry<\/h3>\n<p>Zu den Ransomware-Banden, die bekannterma\u00dfen Poortry verwenden, geh\u00f6ren laut Sophos<\/p>\n<p>Cuba,<\/p>\n<p><a href=\"https:\/\/www.csoonline.com\/de\/a\/zieht-sich-die-blackcat-bande-zurueck,3681285\" target=\"_blank\" rel=\"noopener\">BlackCat<\/a>,<\/p>\n<p><a href=\"https:\/\/www.csoonline.com\/de\/a\/cyberbande-medusa-erpresst-water-for-the-people,3681222\" target=\"_blank\" rel=\"noopener\">Medusa<\/a>,<\/p>\n<p><a href=\"https:\/\/www.csoonline.com\/de\/a\/ermittler-gelingt-schlag-gegen-lockbit-bande,3729257\" target=\"_blank\" rel=\"noopener\">LockBit<\/a>\u00a0und<\/p>\n<p><a href=\"https:\/\/www.csoonline.com\/de\/a\/rasnomhub-loest-lockbit-von-der-spitze-ab,3693418\" target=\"_blank\" rel=\"noopener\">RansomHub<\/a>.<\/p>\n<h3 class=\"wp-block-heading\">Entwicklung von Poortry<\/h3>\n<p>Der Sophos-Report hebt zudem hervor, dass die Entwickler von Poortry neue Features und Funktionen hinzugef\u00fcgt haben, um die Erkennung zu umgehen. Hintergrund ist, dass Microsoft ein Schlupfloch geschlossen hat, das den Entwicklern von Poortry erm\u00f6glichte, benutzerdefinierte Treiber auf Kernel-Ebene zu verwenden. Diese wurden \u00fcber den Microsoft-Attestation-Signierungsprozess signiert.<\/p>\n<p>Sophos-Forscher haben ferner beobachtet, dass ein Bedrohungsakteur w\u00e4hrend eines Angriffs Varianten von Poortry auf verschiedenen Computern eingesetzt hat. Diese Varianten enthielten die gleiche Payload, waren aber mit einem anderen Zertifikat signiert als der Treiber, der zuerst w\u00e4hrend eines Angriffs verwendet wurde.<\/p>\n<p>Im August 2023 drangen die Angreifer beispielsweise zun\u00e4chst \u00fcber ein Fernzugriffs-Tool namens SplashTop in ein Unternehmen ein. Sobald die Angreifer im Netzwerk waren, setzten sie Poortry und Stonestop ein. Gl\u00fccklicherweise war in diesem Fall der Name des Unterzeichners, \u201cbopsoft\u201d, bereits als gestohlenes Zertifikat bekannt und wurde von den Verteidigungssystemen des Zielunternehmens blockiert.<\/p>\n<p>Daraufhin luden die Angreifer einen anderen Poortry-Treiber, der von \u201cEvangel Technology (HK) Limited\u201d unterzeichnet war. Auch dieser Versuch wurde blockiert.<\/p>\n<p>Bei einem anderen Angriff, den Sophos k\u00fcrzlich untersuchte, war der Poortry-Loader mit einem Zertifikat mit dem Namen \u201cFEI XIAO\u201d signiert und auf Donnerstag, den 8. August datiert. Sophos ist sich \u201csehr sicher\u201d, dass der Zeitstempel gef\u00e4lscht wurde.<\/p>\n<p>Was einst ein einfaches Tool war, um \u201cl\u00e4stige\u201d Endpoint-Schutzkomponenten zu entfernen, hat sich zu einem Schweizer Taschenmesser f\u00fcr b\u00f6sartige Funktionen entwickelt. \u201cEs bietet praktisch einen unbegrenzten Vorrat an gestohlenen oder missbr\u00e4uchlich verwendeten Code-Signing-Zertifikaten, um den Schutz der Treibersignaturpr\u00fcfung zu umgehen\u201d, erkl\u00e4ren die Security-Analysten.<\/p>\n<p>Laut Sophos hat sich Poortry nicht nur zu einem EDR-Killer entwickelt, sondern auch zu einer Art Rootkit, das eine Reihe von API-Aufrufen zur Steuerung von Low-Level-Betriebssystemfunktionen kontrolliert. (jm)<\/p>\n<p><em>Sie m\u00f6chten regelm\u00e4ig \u00fcber alles Wichtige rund um Cybersicherheit informiert werden? Unser kostenloser\u00a0<a href=\"https:\/\/www.csoonline.com\/de\/p\/newsletter,17933\" target=\"_blank\" rel=\"noopener\">Newsletter<\/a>\u00a0liefert Ihnen alles, was Sie wissen m\u00fcssen.<\/em><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Das Ransomware-Toolkit Poortry wurde mit neuen Funktionen ausgestattet, um sich der Erkennung zu entziehen. Es hat sich zu einer Art Rootkit entwickelt. Lerbank-bbk22 \u2013 shutterstock.com Sophos-Forscher\u00a0stellten k\u00fcrzlich fest, dass das Ransomware-Toolset namens Poortry (oder BurntCigar genannt) bei einem Angriff dazu verwendet wurde, um\u00a0EDR-Komponenten vollst\u00e4ndig zu l\u00f6schen. Bei fr\u00fcheren Attacken wurde das Tool lediglich dazu benutzt, [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":599,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-598","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/598"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=598"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/598\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/599"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=598"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=598"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=598"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}