Nel 2022 e nel 2023, Sophos X-Ops ha pubblicato una ricerca su un set di strumenti per sabotare le funzioni del software di protezione degli endpoint<\/a> che veniva sviluppato e utilizzato in associazione da diverse grandi bande di ransomware. Mandiant aveva precedentemente chiamato questo strumento Poortry e la sua applicazione di caricamento Stonestop.<\/p>\n I creatori dello strumento Poortry erano riusciti a far firmare driver a livello di kernel personalizzati e costruiti ad hoc attraverso il processo di firma degli attestati di Microsoft. Dopo che abbiamo pubblicato la nostra ricerca e Microsoft ha chiuso la falla che consentiva la firma di questi driver, i creatori dello strumento non si sono fermati. Hanno continuato ad aggiungere caratteristiche e funzionalit\u00e0 al driver Poortry, nel tentativo continuo di eludere il rilevamento e di trovare nuovi modi per disabilitare l’EDR e il software di protezione degli endpoint.<\/p>\n Per spiegare le nuove funzioni di Poortry, esaminiamo come i driver interagiscono con il sistema operativo e come gli sviluppatori di questo EDR killer hanno perfezionato il loro strumento nel tempo.<\/p>\n La maggior parte degli EDR killer si basa sul caricamento di un driver di dispositivo nel kernel del sistema operativo, che d\u00e0 accesso a funzionalit\u00e0 di basso livello per poter disattivare e interrompere vari tipi di software di protezione.<\/p>\n In Windows, che supporta una moltitudine di periferiche e componenti collegati, i driver in modalit\u00e0 kernel hanno un’ampia libert\u00e0 di scelta per questo tipo di funzioni di basso livello. In circostanze normali, questi driver non dovrebbero interagire con software o hardware di altre aziende o produttori, ma non esiste una imposizione di questo comportamento. Pertanto, se un driver legittimo firmato non convalida correttamente i processi che interagiscono con esso, i killer EDR possono sfruttare alcune delle sue caratteristiche per rimuovere le misure di protezione.<\/p>\n Continua a leggere.<\/a><\/p>\n<\/p><\/div>\nIn che modo i driver di Windows possono sabotare la protezione<\/strong><\/h2>\n
![](\"https:\/\/news.sophos.com\/wp-content\/uploads\/2024\/08\/poortry.png\"\/)
<\/p>\n