Um ator de ameaças conhecido como Spyboy está promovendo uma ferramenta chamada "Terminator" em um fórum de hackers de língua russa que supostamente pode terminar qualquer antivírus, plataforma XDR e EDR.
No entanto, a CrowdStrike afirma que é apenas um ataque Bring Your Own Vulnerable Driver (BYOVD).
O Terminator é supostamente capaz de contornar 24 diferentes soluções de segurança, incluindo 24 diferentes antivírus (AV), Endpoint Detection and Response (EDR) e Extended Detection and Response (XDR), incluindo o Windows Defender, em dispositivos executando o Windows 7 e posterior.
Spyboy vende o software por preços que variam de $300 para uma única contornagem a $3.000 para uma contornagem completa.
"Os seguintes EDRs não podem ser vendidos separadamente: SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, Cylance", diz o ator de ameaças, com um aviso de que "Ransomware e bloqueadores não são permitidos e não sou responsável por tais ações."
Para usar o Terminator, os "clientes" precisam de privilégios administrativos nos sistemas Windows visados e têm que enganar o usuário para aceitar uma janela pop-up de Controle de Conta de Usuário (UAC) que será exibida ao executar a ferramenta.
No entanto, como um engenheiro da CrowdStrike revelou em um post do Reddit, o Terminator simplesmente elimina o driver de kernel anti-malware Zemana legítimo e assinado chamado zamguard64.sys ou zam64.sys na pasta C:\Windows\System32\ com um nome aleatório entre 4 e 10 caracteres.
Depois que o driver malicioso é gravado no disco, o Terminator o carrega para usar seus privilégios de nível de kernel para matar os processos de modo de usuário do software AV e EDR em execução no dispositivo.
Embora não esteja claro como o programa Terminator está interagindo com o driver, um exploit PoC foi lançado em 2021 que explora falhas no driver para executar comandos com privilégios do Windows Kernel, o que poderia ser usado para interromper processos de software de segurança normalmente protegidos.
Este driver está sendo detectado apenas por um único motor de varredura anti-malware como um driver vulnerável no momento, de acordo com uma varredura do VirusTotal.
Felizmente, o chefe de pesquisa da Nextron Systems, Florian Roth, e o pesquisador de ameaças Nasreddine Bencherchali já compartilharam regras YARA e Sigma (por hash e por nome) que podem ajudar os defensores a detectar o driver vulnerável usado pela ferramenta Terminator.
Esta técnica é prevalente entre atores de ameaças que gostam de instalar drivers do Windows vulneráveis depois de escalar privilégios para contornar o software de segurança em execução nas máquinas comprometidas, executar código malicioso e entregar payloads maliciosos adicionais.
Em ataques Bring Your Own Vulnerable Driver (BYOVD), como são conhecidos, drivers legítimos assinados com certificados válidos e capazes de serem executados com privilégios de kernel são deixados nos dispositivos das vítimas para desativar soluções de segurança e assumir o controle do sistema.
Uma ampla variedade de grupos de ameaças tem usado a técnica há anos, desde gangues de ransomware motivadas financeiramente até grupos de hackers apoiados pelo Estado.
Mais recentemente, pesquisadores de segurança da Sophos X-Ops viram uma nova ferramenta de hacking chamada AuKill sendo usada para desativar o software EDR com a ajuda de um driver vulnerável do Process Explorer antes de implantar ransomware em ataques BYOVD.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...