Le pilote Windows malveillant en mode noyau de corruption utilisé par plusieurs gangs de ransomwares pour désactiver les solutions de détection et de réponse des points de terminaison (EDR) a évolué pour devenir un essuie-glace EDR, supprimant les fichiers essentiels au fonctionnement des solutions de sécurité et rendant la restauration plus difficile.
Bien que Trend Micro ait mis en garde contre cette fonctionnalité ajoutée sur Poortry depuis mai 2023, Sophos a maintenant confirmé avoir vu l’EDR effacer les attaques dans la nature.
Cette évolution de la corruption d’un désactivateur EDR à un essuie-glace EDR représente un changement de tactique très agressif de la part des acteurs des ransomwares, qui privilégient désormais une phase de configuration plus perturbatrice pour garantir de meilleurs résultats au stade du cryptage.
PoorTry, également connu sous le nom de « BurntCigar », a été développé en 2021 en tant que pilote en mode noyau pour désactiver EDR et d’autres logiciels de sécurité.
Le kit, utilisé par plusieurs gangs de ransomwares, dont BlackCat, Cuba et LockBit, a d’abord attiré l’attention lorsque ses développeurs ont trouvé des moyens de faire signer leurs pilotes malveillants via le processus de signature d’attestation de Microsoft. D’autres groupes de cybercriminalité, tels que Scattered Spider, ont également été vus en train d’utiliser l’outil dans des violations axées sur le vol d’informations d’identification et les attaques d’échange de cartes SIM.
Tout au long de 2022 et 2023, Poortry a continué d’évoluer, optimisant son code et utilisant des outils d’obscurcissement tels que VMProtect, Themida et ASMGuard pour emballer le pilote et son chargeur (Stonestop) pour l’évasion.
Évolution vers un essuie-glace
Le dernier rapport de Sophos est basé sur une attaque RansomHub en juillet 2024 qui a utilisé Poortrypour supprimer des fichiers exécutables critiques( EX), des bibliothèques de liens dynamiques (DLL) et d’autres composants essentiels des logiciels de sécurité.
Cela garantit que le logiciel EDR ne peut pas être récupéré ou redémarré par les défenseurs, laissant le système complètement non protégé lors de la phase de cryptage suivante de l’attaque.
Le processus commence par le composant en mode utilisateur de PoorTry, identifiant les répertoires d’installation du logiciel de sécurité et les fichiers critiques dans ces répertoires.
Il envoie ensuite des requêtes au composant en mode noyau pour mettre systématiquement fin aux processus liés à la sécurité, puis supprimer leurs fichiers cruciaux.
Les chemins d’accès à ces fichiers sont codés en dur sur PoorTry, tandis que le composant en mode utilisateur prend en charge la suppression par nom ou type de fichier, ce qui lui confère une certaine flexibilité opérationnelle pour couvrir une gamme plus large de produits EDR.
Le logiciel malveillant ne peut être affiné que pour supprimer les fichiers essentiels au fonctionnement de l’EDR, évitant ainsi des bruits inutiles dans les premières phases risquées de l’attaque.
Sophos note également que les dernières variantes d’essai pauvres utilisent la manipulation de l’horodatage des signatures pour contourner les contrôles de sécurité sur Windows et utilisent les métadonnées d’autres logiciels comme Internet Download Manager de Tonec Inc.
Les attaquants ont été vus en train d’employer une tactique connue sous le nom de « roullete de certificats », où ils déploient plusieurs variantes de la même charge utile signée avec différents certificats pour augmenter leurs chances qu’au moins un s’exécute avec succès.
Malgré les efforts déployés pour suivre l’évolution de la pauvreté et arrêter son efficacité, les développeurs de l’outil ont fait preuve d’une remarquable capacité d’adaptation aux nouvelles mesures de défense.
La fonctionnalité d’effacement EDR donne à l’outil un avantage sur les défenseurs répondant aux attaques, mais pourrait également offrir de nouvelles opportunités pour détecter les attaques dans la phase de pré-cryptage.