POORTRY

Die Malware POORTRY wurde 2022 bei Ransomware-Angriffen entdeckt. POORTRY ist ein Windows-Kernel-Treiber, der mit gestohlenen Schlüsseln signiert wurde, die legitimen Konten im Windows Hardware Developer Program von Microsoft gehören. Die Hacker-Gruppierung UNC3944 hat diesen bösartigen Treiber verwendet, um Sicherheitssoftware zu beenden und damit die Erkennung von Malware zu vermeiden.

Zwar ist Sicherheitssoftware in der Regel davor geschützt, beendet oder manipuliert zu werden. Windows-Kernel-Treiber werden jedoch mit den höchsten Rechten des Betriebssystems ausgeführt und können deshalb dazu missbraucht werden, fast jeden Prozess zu beenden.

Sicherheitsforschern zufolge versuchten weitere Ransomware-Akteure, den von Microsoft signierten POORTRY-Treiber zu verwenden. Die Erkennungsraten waren jedoch hoch, nachdem er in der Öffentlichkeit bekannt wurde und die Codesignaturschlüssel widerrufen wurden.

Inzwischen wird eine aktualisierte Version des POORTRY-Kernel-Treibers eingesetzt, die mit einem gestohlenen oder durchgesickerten Cross-Signing-Zertifikat signiert ist. Der neue Treiber kann die Rechte auf kompromittierten Computern erhöhen und dann Sicherheitsprozesse anhalten.

Analysten beobachten die folgenden Befehle, die an den Treiber übergeben werden können:

• Treiber aktivieren
• Treiber deaktivieren, nachdem der Benutzermodus-Client seine Operation beendet hat
• Benutzermodus-Prozesse beenden
• Dateipfade löschen
• Erzwungenes Löschen einer Datei durch Freigabe ihrer Handles und Beendigung laufender Prozesse, die sie verwenden
• Dateien kopieren
• Erzwungenes Kopieren von Dateien mit einem ähnlichen Mechanismus wie beim Erzwingen des Löschens
• System neu starten durch Aufruf der "HalReturnToFirmware"-API
• Process-/Thread-Benachrichtigungs-Callbacks
  • Callbacks registrieren
  • Registrierung der Callbacks aufheben
    Die beiden Befehle, die für Process-/Thread-Benachrichtigungs-Callbacks verwendet werden, funktionieren nicht. Dies deutet darauf hin, dass sich der Treiber noch in der Entwicklung oder in der Testphase befindet.

Eingesetzt wird POORTRY derzeit von der Ransomware-Gruppierung BlackCat, auch bekannt unter dem Namen ALPHV.

Aufgrund der hohen Aktivität von BlackCat in Deutschland empfiehlt die CSBW dringend folgende Maßnahmen:

• Systemadministratoren sollten die veröffentlichten Indikatoren (IoCs) verwenden.
• Systemadministratoren sollten die verwendeten bösartigen Treiber zur Windows-Treiber-Blockierliste hinzufügen.
• Windows-Administratoren sollten sicherstellen, dass "Driver Signature Enforcement" aktiviert ist. Dies blockiert die Installation von Treibern ohne gültige digitale Signatur.