"Terminator" matador de antivirus é um driver do Windows vulnerável disfarçado
1 de Junho de 2023

Um ator de ameaças conhecido como Spyboy está promovendo uma ferramenta chamada "Terminator" em um fórum de hackers de língua russa que supostamente pode terminar qualquer antivírus, plataforma XDR e EDR.

No entanto, a CrowdStrike afirma que é apenas um ataque Bring Your Own Vulnerable Driver (BYOVD).

O Terminator é supostamente capaz de contornar 24 diferentes soluções de segurança, incluindo 24 diferentes antivírus (AV), Endpoint Detection and Response (EDR) e Extended Detection and Response (XDR), incluindo o Windows Defender, em dispositivos executando o Windows 7 e posterior.

Spyboy vende o software por preços que variam de $300 para uma única contornagem a $3.000 para uma contornagem completa.

"Os seguintes EDRs não podem ser vendidos separadamente: SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, Cylance", diz o ator de ameaças, com um aviso de que "Ransomware e bloqueadores não são permitidos e não sou responsável por tais ações."

Para usar o Terminator, os "clientes" precisam de privilégios administrativos nos sistemas Windows visados e têm que enganar o usuário para aceitar uma janela pop-up de Controle de Conta de Usuário (UAC) que será exibida ao executar a ferramenta.

No entanto, como um engenheiro da CrowdStrike revelou em um post do Reddit, o Terminator simplesmente elimina o driver de kernel anti-malware Zemana legítimo e assinado chamado zamguard64.sys ou zam64.sys na pasta C:\Windows\System32\ com um nome aleatório entre 4 e 10 caracteres.

Depois que o driver malicioso é gravado no disco, o Terminator o carrega para usar seus privilégios de nível de kernel para matar os processos de modo de usuário do software AV e EDR em execução no dispositivo.

Embora não esteja claro como o programa Terminator está interagindo com o driver, um exploit PoC foi lançado em 2021 que explora falhas no driver para executar comandos com privilégios do Windows Kernel, o que poderia ser usado para interromper processos de software de segurança normalmente protegidos.

Este driver está sendo detectado apenas por um único motor de varredura anti-malware como um driver vulnerável no momento, de acordo com uma varredura do VirusTotal.

Felizmente, o chefe de pesquisa da Nextron Systems, Florian Roth, e o pesquisador de ameaças Nasreddine Bencherchali já compartilharam regras YARA e Sigma (por hash e por nome) que podem ajudar os defensores a detectar o driver vulnerável usado pela ferramenta Terminator.

Esta técnica é prevalente entre atores de ameaças que gostam de instalar drivers do Windows vulneráveis depois de escalar privilégios para contornar o software de segurança em execução nas máquinas comprometidas, executar código malicioso e entregar payloads maliciosos adicionais.

Em ataques Bring Your Own Vulnerable Driver (BYOVD), como são conhecidos, drivers legítimos assinados com certificados válidos e capazes de serem executados com privilégios de kernel são deixados nos dispositivos das vítimas para desativar soluções de segurança e assumir o controle do sistema.

Uma ampla variedade de grupos de ameaças tem usado a técnica há anos, desde gangues de ransomware motivadas financeiramente até grupos de hackers apoiados pelo Estado.

Mais recentemente, pesquisadores de segurança da Sophos X-Ops viram uma nova ferramenta de hacking chamada AuKill sendo usada para desativar o software EDR com a ajuda de um driver vulnerável do Process Explorer antes de implantar ransomware em ataques BYOVD.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...