Terminator antivírus killer é um driver vulnerável do Windows disfarçado

Apr 10, 2023

Um agente de ameaças conhecido como Spyboy está promovendo uma ferramenta chamada "Terminator" em um fórum de hackers de língua russa que supostamente pode encerrar qualquer plataforma de antivírus, XDR e EDR. No entanto, CrowdStrike diz que é apenas um ataque sofisticado de Bring Your Own Vulnerable Driver (BYOVD).

O Terminator é supostamente capaz de contornar 24 soluções de segurança antivírus (AV), Detecção e Resposta de Endpoint (EDR) e Detecção e Resposta Estendida (XDR) diferentes, incluindo o Windows Defender, em dispositivos executando o Windows 7 e posterior,

O Spyboy vende o software por preços que variam de US$ 300 para um único bypass a US$ 3.000 para um bypass completo.

“Os seguintes EDRs não podem ser vendidos sozinhos: SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, Cylance”, diz o agente da ameaça, com um aviso de que “Ransomware e armários não são permitidos e não sou responsável por tais ações”.

Para usar o Terminator, os "clientes" exigem privilégios administrativos nos sistemas Windows de destino e precisam induzir o usuário a aceitar um pop-up de Controles de Conta de Usuário (UAC) que será exibido ao executar a ferramenta.

No entanto, como um engenheiro da CrowdStrike revelou em uma postagem do Reddit, o Terminator apenas coloca o driver de kernel anti-malware Zemana legítimo e assinado chamado zamguard64.sys ou zam64.sys na pasta C:\Windows\System32\ com um nome aleatório entre 4 e 10 caracteres.

Depois que o driver malicioso é gravado no disco, o Terminator o carrega para usar seus privilégios no nível do kernel para eliminar os processos de modo de usuário do software AV e EDR em execução no dispositivo.

Embora não esteja claro como o programa Terminator está interagindo com o driver, uma exploração PoC foi lançada em 2021 que explora falhas no driver para executar comandos com privilégios do Kernel do Windows, que podem ser usados ​​para encerrar processos de software de segurança normalmente protegidos.

Este driver está sendo detectado apenas por um único mecanismo de verificação antimalware como um driver vulnerável no momento, de acordo com uma verificação do VirusTotal.

Felizmente, o chefe de pesquisa da Nextron Systems, Florian Roth, e o pesquisador de ameaças Nasreddine Bencherchali já compartilharam as regras YARA e Sigma (por hash e por nome) que podem ajudar os defensores a detectar o driver vulnerável usado pela ferramenta Terminator.

Essa técnica é predominante entre os agentes de ameaças que gostam de instalar drivers vulneráveis ​​do Windows depois de aumentar os privilégios para ignorar o software de segurança em execução nas máquinas comprometidas, executar códigos maliciosos e fornecer cargas maliciosas adicionais.

Nos ataques Bring Your Own Vulnerable Driver (BYOVD), como são conhecidos, drivers legítimos assinados com certificados válidos e capazes de rodar com privilégios de kernel são descartados nos dispositivos das vítimas para desabilitar as soluções de segurança e assumir o controle do sistema.

Uma grande variedade de grupos de ameaças usa a técnica há anos, variando de gangues de ransomware motivadas financeiramente a equipamentos de hackers apoiados pelo estado.

Mais recentemente, os pesquisadores de segurança da Sophos X-Ops detectaram uma nova ferramenta de hacking chamada AuKill usada na natureza para desativar o software EDR com a ajuda de um driver vulnerável do Process Explorer antes de implantar ransomware em ataques BYOVD.

Microsoft compartilha correção para câmeras que não funcionam em laptops Surface

Microsoft Defender Antivirus recebe 'modo de desempenho' para Dev Drives

Drivers maliciosos do kernel do Windows usados ​​em ataques de ransomware BlackCat

Detectando roubo de dados com Wazuh, o XDR de código aberto

Ganhe 50% de desconto no Malwarebytes Premium + Privacy nesta oferta por tempo limitado