进化中的恶意驱动：PoorTry成了EDR杀手

关键要点

PoorTry 恶意驱动程序已升级为强大的 EDR 杀手。最初设计用于停用安全系统，现在已可删除安全软件的重要动态链接库和可执行文件。该程序通过寻找安装目录和关键文件进行攻击，并提出终止安全进程和删除文件的请求。

据BleepingComputer报道，恶意软件操作已将 PoorTry 恶意内核模式 Windows 驱动程序从一个终端检测和响应系统的停用工具升级为一个真正的EDR 杀手。

根据Sophos的分析，尽管 PoorTry也称为 BurntCigar最初是为了禁用安全系统而开发的，但在上个月的一次 RansomHub 攻击中，该驱动程序已被更新以删除安全软件的关键动态链接库和可执行文件。恶意的 PoorTry 操作首先通过发现安装目录和关键目录文件开始，然后向其内核模式组件发送请求，要求终止与安全相关的进程并删除文件。Sophos 研究人员指出，该工具支持基于文件名或类型的删除。

进一步分析显示，新版本的 PoorTry 不仅利用签名时间戳操控来规避 Windows 安全检查和启用其他软件元数据，还使用了多种证书以提高被利用的几率。

旋风加速器下载特征描述驱动程序名称PoorTry (BurntCigar)功能停用安全软件，删除关键动态链接库与可执行文件攻击方式发现安装目录与关键目录文件，发送进程终止与文件删除请求规避方法签名时间戳操控，使用多种证书

注意到随着该恶意驱动的能力不断增强，组织和个人必须更加小心，确保自身的安全防护工具和策略随之更新。