为了避免端点防护系统干扰勒索软体加密档案,最近2至3年,骇客利用含有弱点的驱动程式来达到目的,其中一款名为PoorTry的恶意驱动程式,最近引起研究人员高度关注。
研究人员特别提及,此恶意驱动程式也纳入了资料破坏软体(Wiper)的功能,而能删除EDR系统的EXE、DLL元件,使其无法再度运作。
【攻击与威胁】
攻击者使用含有弱点的驱动程式,从而得到系统核心层级的权限,干扰防毒软体或EDR运作,其中一种被勒索软体骇客利用的驱动程式PoorTry(或叫做BurntCigar),最近被发现更具破坏威力。
资安业者Sophos在今年7月的勒索软体RansomHub攻击行动里,看到骇客试图加密电脑档案,而被他们的端点防护机制CryptoGuard拦截。研究人员在事件调查的过程中,发现骇客在数台电脑部署PoorTry及载入工具StoneStop,而这些新版恶意工具与过往最大的差异,在于阻扰端点防护系统运作的方式。
研究人员指出,这起攻击行动的过程里,骇客利用这种恶意驱动程式来破坏EDR系统的运作,像是移除或是窜改核心通知功能,他们总共看到7个装置输入和输出控制(IOCTL)程式码传送到EDR核心模式的元件,然后利用EDR Killer的功能终止相关处理程序,并抹除这类系统的重要EXE、DLL档案,使得EDR系统无法再度运作。
根据Politico报导,法国在今年3月针对Telegram的兄弟档创办人Nikolai Durov与Pavel Durov发出逮捕令,主要是因为Telegram拒绝配合法国执法机构对CSAM散布的调查。彭博社(Bloomberg)与金融时报(FT)亦指出,法国对Durov的指控主要是共谋犯罪,涵盖贩毒、洗钱、散布CSAM或仇恨言论等,再加上Telegram几乎不与执法机构合作,等于是忽视这些犯罪的存在。
其他攻击与威胁