【安全资讯】Poortry EDR Killer演变：现可彻底清除Windows系统安全软件

概要：

Sophos X-Ops最近发布了一份详细报告，揭示了恶意工具集Poortry的最新进展。Poortry最初被Mandiant识别并命名，旨在破坏Windows系统上的端点检测和响应（EDR）软件。该工具自2022年以来一直在积极开发，现已成为多个主要勒索软件组织的重要资产。

主要内容：

Poortry最初作为EDR杀手，通过利用Windows驱动程序签名强制执行中的漏洞来禁用保护措施。其开发者使用合法但常被盗用的证书签署驱动程序，从而绕过微软的安全机制。尽管微软关闭了允许这些恶意驱动程序签名的漏洞，Poortry的开发者迅速适应，采用新策略以逃避检测。

最新版本的Poortry不仅仅是禁用EDR软件，还能彻底清除安全软件的关键组件。Sophos研究人员观察到，Poortry现在可以完全擦除磁盘上的安全软件组件，使其成为一个双重用途工具，不仅禁用还摧毁EDR系统。这一演变提高了组织的风险，因为Poortry现在为勒索软件攻击扫清了障碍。

Poortry依赖于内核模式驱动程序，这些驱动程序被加载到操作系统的内核中，可以解除和终止各种保护软件进程，使其无效。报告指出，Poortry的开发者主要通过三种方法滥用代码签名：使用泄露的证书、伪造签名时间戳和绕过微软的认证签名。自2022年微软和Sophos曝光WHQL证书滥用以来，Poortry的开发者转向使用伪造时间戳和泄露证书，确保其工具对EDR系统仍然有效。

Poortry的新特性是其能够擦除关键EDR组件，这一特性在2024年7月的一次RansomHub勒索软件部署尝试中首次被观察到。Sophos CryptoGuard阻止了勒索软件，但事后分析显示Poortry试图在最终攻击阶段之前删除重要的安全软件文件。Poortry现在在删除文件时有两种模式：按类型删除和按名称删除，允许精确消除关键EDR组件。