进化中的恶意驱动：PoorTry成了EDR杀手

关键要点

• PoorTry 恶意驱动程序已升级为强大的 EDR 杀手。
• 最初设计用于停用安全系统，现在已可删除安全软件的重要动态链接库和可执行文件。
• 该程序通过寻找安装目录和关键文件进行攻击，并提出终止安全进程和删除文件的请求。

据报道，恶意软件操作已将 PoorTry恶意内核模式 Windows 驱动程序从一个终端检测和响应系统的停用工具升级为一个真正的。

根据Sophos的分析，尽管 PoorTry（也称为 BurntCigar）最初是为了禁用安全系统而开发的，但在上个月的一次 RansomHub攻击中，该驱动程序已被更新以删除安全软件的关键动态链接库和可执行文件。恶意的 PoorTry操作首先通过发现安装目录和关键目录文件开始，然后向其内核模式组件发送请求，要求终止与安全相关的进程并删除文件。Sophos研究人员指出，该工具支持基于文件名或类型的删除。

进一步分析显示，新版本的 PoorTry 不仅利用签名时间戳操控来规避 Windows 安全检查和启用其他软件元数据，还使用了多种证书以提高被利用的几率。

注意到随着该恶意驱动的能力不断增强，组织和个人必须更加小心，确保自身的安全防护工具和策略随之更新。