Neighborhood Services e Busey Bank fecham com sucesso o subsídio do Programa de Habitação Acessível
Mar 05, 2023Empresa de colchões lança segundo relatório anual "Sleep Uncovered" revelando a dinâmica do sono de pais com crianças pequenas e ensino fundamental
Mar 07, 2023Terapia de luz vermelha: como isso afeta o sono
Mar 09, 2023Uso de celular pode aumentar o risco de pressão alta
Mar 11, 2023Além do sal: pesquisas destacam fontes subestimadas de pressão alta
Mar 13, 2023Terminator antivírus killer é um driver vulnerável do Windows disfarçado
Um agente de ameaças conhecido como Spyboy está promovendo uma ferramenta chamada "Terminator" em um fórum de hackers de língua russa que supostamente pode encerrar qualquer plataforma de antivírus, XDR e EDR. No entanto, CrowdStrike diz que é apenas um ataque sofisticado de Bring Your Own Vulnerable Driver (BYOVD).
O Terminator é supostamente capaz de contornar 24 soluções de segurança antivírus (AV), Detecção e Resposta de Endpoint (EDR) e Detecção e Resposta Estendida (XDR) diferentes, incluindo o Windows Defender, em dispositivos executando o Windows 7 e posterior,
O Spyboy vende o software por preços que variam de US$ 300 para um único bypass a US$ 3.000 para um bypass completo.
“Os seguintes EDRs não podem ser vendidos sozinhos: SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, Cylance”, diz o agente da ameaça, com um aviso de que “Ransomware e armários não são permitidos e não sou responsável por tais ações”.
Para usar o Terminator, os "clientes" exigem privilégios administrativos nos sistemas Windows de destino e precisam induzir o usuário a aceitar um pop-up de Controles de Conta de Usuário (UAC) que será exibido ao executar a ferramenta.
No entanto, como um engenheiro da CrowdStrike revelou em uma postagem do Reddit, o Terminator apenas coloca o driver de kernel anti-malware Zemana legítimo e assinado chamado zamguard64.sys ou zam64.sys na pasta C:\Windows\System32\ com um nome aleatório entre 4 e 10 caracteres.
Depois que o driver malicioso é gravado no disco, o Terminator o carrega para usar seus privilégios no nível do kernel para eliminar os processos de modo de usuário do software AV e EDR em execução no dispositivo.
Embora não esteja claro como o programa Terminator está interagindo com o driver, uma exploração PoC foi lançada em 2021 que explora falhas no driver para executar comandos com privilégios do Kernel do Windows, que podem ser usados para encerrar processos de software de segurança normalmente protegidos.
Este driver está sendo detectado apenas por um único mecanismo de verificação antimalware como um driver vulnerável no momento, de acordo com uma verificação do VirusTotal.
Felizmente, o chefe de pesquisa da Nextron Systems, Florian Roth, e o pesquisador de ameaças Nasreddine Bencherchali já compartilharam as regras YARA e Sigma (por hash e por nome) que podem ajudar os defensores a detectar o driver vulnerável usado pela ferramenta Terminator.
Essa técnica é predominante entre os agentes de ameaças que gostam de instalar drivers vulneráveis do Windows depois de aumentar os privilégios para ignorar o software de segurança em execução nas máquinas comprometidas, executar códigos maliciosos e fornecer cargas maliciosas adicionais.
Nos ataques Bring Your Own Vulnerable Driver (BYOVD), como são conhecidos, drivers legítimos assinados com certificados válidos e capazes de rodar com privilégios de kernel são descartados nos dispositivos das vítimas para desabilitar as soluções de segurança e assumir o controle do sistema.
Uma grande variedade de grupos de ameaças usa a técnica há anos, variando de gangues de ransomware motivadas financeiramente a equipamentos de hackers apoiados pelo estado.
Mais recentemente, os pesquisadores de segurança da Sophos X-Ops detectaram uma nova ferramenta de hacking chamada AuKill usada na natureza para desativar o software EDR com a ajuda de um driver vulnerável do Process Explorer antes de implantar ransomware em ataques BYOVD.
Microsoft compartilha correção para câmeras que não funcionam em laptops Surface
Microsoft Defender Antivirus recebe 'modo de desempenho' para Dev Drives
Drivers maliciosos do kernel do Windows usados em ataques de ransomware BlackCat
Detectando roubo de dados com Wazuh, o XDR de código aberto
Ganhe 50% de desconto no Malwarebytes Premium + Privacy nesta oferta por tempo limitado