Bad News für EDR-Software
Viele Unternehmen setzen im Bereich IT-Sicherheit, EDR-Systeme (Endpoint-Detection-and-Response) ein. Aktuell ist ein Ransomware-Tool entdeckt worden, dass in der Lage ist, EDR-Systeme vom IT-System eines Unternehmens zu löschen. Zur Tarnung haben Cyberkriminelle, das Ransomware-Toolkit Poortry überarbeitet und mit neuen Funktionen ausgestattet.
Sophos Entwickler stellten kürzlich fest, dass das Ransomware-Toolset „Poortry“, bei einem Angriff dazu verwendet wurde, um EDR-Komponenten vollständig vom Zielsystem zu löschen. Die Vorgängerversionen wurden lediglich dazu benutzt, EDR-Prozesse zu beenden, löschen konnten Sie diese aber nicht.
Bei Poortry handelt es sich um einen schädlichen Kernel-Treiber, der in Verbindung mit einem Loader verwendet wird. Dieser umgeht das Microsoft Driver Signature Enforcement. Sowohl der Treiber als auch der Loader werden dabei durch kommerzielle oder Open-Source-Packer wie beispielsweise VMProtect verschleiert.
Der Treiber versucht, sich zu tarnen, indem er in seiner Beschreibung dieselben Informationen wie ein Treiber für ein kommerziell erhältliches Programm verwendet. Dabei handelt es sich jedoch nicht um den Treiber dieses Softwarepakets, es wurden lediglich die Informationen daraus übernommen.
Das Umgehen der Erkennung ermöglicht ein Schlupfloch, dass Microsoft erst kürzlich geschlossen hat und das den Entwicklern von Poortry ermöglichte, benutzerdefinierte Treiber auf Kernel-Ebene zu verwenden. Diese wurden im Nachgang über den Microsoft-Attestation-Signierungsprozess signiert.
Weiterhin berichtet Sophos, dass zudem beobachtet wurde, das Varianten von Poortry auf verschiedenen Computern eingesetzt wurden. Diese Varianten enthielten zwar die gleiche Payload, waren aber mit einem anderen Zertifikat signiert als der Treiber, der zuerst während eines Angriffs verwendet wurde. Das erhöht die Variabilität von Poortry. Sofern eine Sicherheitssoftware, den Angriff erkennt, wird einfach mal die Signatur gewechselt.
Einst als ein einfaches Tool entwickelt, um „lästige“ Endpoint-Schutzkomponenten außer Betrieb zu setzen, hat sich Poortry zu einem Multifunktionstool für Angreifer entwickelt. Es bietet daher einen nahezu unbegrenzten Vorrat an gestohlenen oder missbräuchlich verwendeten Zertifikaten, um den Schutz der Treibersignaturprüfung zu umgehen.
Laut Sophos kann Poortry nicht nur EDR-Systeme lahmlegen, sondern ist durchaus auch in der Lage, API-Aufrufe, zur Steuerung von niedrigen Betriebssystemfunktionen, zu kontrollieren.
Keine guten Nachrichten für die IT-Sicherheit☹