여러 랜섬웨어 갱들이 사용하는 악성 PoorTry 커널 모드 윈도우 드라이버가 보안 솔루션의 핵심 파일을 삭제하는 EDR 와이퍼로 진화했습니다. 이는 보안 솔루션의 복원을 어렵게 만들며, PoorTry가 EDR 비활성화 도구에서 EDR 와이퍼로 진화하는 과정은 랜섬웨어 행위자들이 암호화 단계에서 더 나은 결과를 보장하기 위해 더 파괴적인 설정 단계를 우선시하는 매우 공격적인 전략 변화를 나타냅니다.
PoorTry는 2021년에 EDR 및 기타 보안 소프트웨어를 비활성화하는 커널 모드 드라이버로 개발되었으며, BlackCat, Cuba, LockBit 등 여러 랜섬웨어 갱들에 의해 사용되었습니다. 이 도구는 Microsoft의 인증 서명 과정을 통해 악성 드라이버를 서명하는 방법을 찾아내어 주목을 받았습니다. 2022년과 2023년 동안 PoorTry는 코드를 최적화하고 VMProtect, Themida, ASMGuard와 같은 난독화 도구를 사용하여 드라이버와 로더(Stonestop)를 포장하여 회피하였습니다.
Sophos의 최근 보고서에 따르면, PoorTry는 보안 솔루션의 핵심 구성 요소를 삭제하여 EDR 소프트웨어가 복구되거나 재시작되지 못하게 하여 공격의 암호화 단계에서 시스템이 완전히 보호받지 못하게 합니다. PoorTry의 사용자 모드 구성 요소는 보안 소프트웨어의 설치 디렉토리와 그 디렉토리 내의 핵심 파일을 식별하고, 커널 모드 구성 요소에게 보안 관련 프로세스를 종료하고 그들의 핵심 파일을 삭제하도록 요청을 보냅니다.
요약
- 랜섬웨어 갱들이 사용하는 악성 PoorTry 커널 모드 윈도우 드라이버가 보안 솔루션의 핵심 파일을 삭제하는 EDR 와이퍼로 진화
- PoorTry는 EDR 및 기타 보안 소프트웨어를 비활성화하는 커널 모드 드라이버로 개발되었으며, 여러 랜섬웨어 갱들에 의해 사용되었다.
- PoorTry는 보안 솔루션의 핵심 구성 요소를 삭제하여 EDR 소프트웨어가 복구되거나 재시작되지 못하게 하여 공격의 암호화 단계에서 시스템이 완전히 보호받지 못하게 한다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.