Антивирусный убийца Terminator — это замаскированный уязвимый драйвер Windows

Apr 10, 2023

Злоумышленник, известный как Spyboy, продвигает на русскоязычном хакерском форуме инструмент под названием «Терминатор», который якобы может уничтожить любой антивирус, платформу XDR и EDR. Однако в CrowdStrike утверждают, что это всего лишь причудливая атака «Принеси свой собственный уязвимый драйвер» (BYOVD).

Терминатор якобы способен обходить 24 различных антивируса (AV), решения безопасности Endpoint Detection and Response (EDR) и Extended Detection and Response (XDR), включая Защитник Windows, на устройствах под управлением Windows 7 и более поздних версий.

Spyboy продает программное обеспечение по цене от 300 долларов США за один обходной путь до 3000 долларов США за универсальный обходной путь.

«Следующие EDR не могут продаваться по отдельности: SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, Cylance», — говорит злоумышленник, с оговоркой, что «программы-вымогатели и локеры запрещены, и я не несу ответственности за такие действия».

Чтобы использовать Terminator, «клиентам» требуются административные привилегии в целевых системах Windows, и они должны обманом заставить пользователя принять всплывающее окно контроля учетных записей (UAC), которое будет отображаться при запуске инструмента.

Однако, как сообщил инженер CrowdStrike в сообщении на Reddit, Терминатор просто помещает законный, подписанный драйвер ядра защиты от вредоносных программ Zemana с именем zamguard64.sys или zam64.sys в папку C:\Windows\System32\ со случайным именем от 4 до 10 персонажей.

После того как вредоносный драйвер записан на диск, Терминатор загружает его, чтобы использовать свои привилегии уровня ядра для уничтожения процессов пользовательского режима программного обеспечения AV и EDR, работающего на устройстве.

Хотя неясно, как программа Terminator взаимодействует с драйвером, в 2021 году был выпущен PoC-эксплойт, который использует недостатки драйвера для выполнения команд с привилегиями ядра Windows, которые можно использовать для завершения нормально защищенных процессов программного обеспечения безопасности.

По данным сканирования VirusTotal, на данный момент этот драйвер обнаруживается только одним механизмом сканирования на наличие вредоносных программ как уязвимый драйвер.

К счастью, руководитель исследовательского отдела Nextron Systems Флориан Рот и исследователь угроз Насреддин Бенчерчали уже поделились правилами YARA и Sigma (по хешу и по имени), которые могут помочь защитникам обнаружить уязвимый драйвер, используемый инструментом Terminator.

Этот метод распространен среди злоумышленников, которые любят устанавливать уязвимые драйверы Windows после повышения привилегий, чтобы обойти программное обеспечение безопасности, работающее на взломанных машинах, выполнить вредоносный код и доставить дополнительные вредоносные полезные нагрузки.

В ходе атак «Принеси свой собственный уязвимый драйвер» (BYOVD), как они известны, законные драйверы, подписанные действующими сертификатами и способные работать с привилегиями ядра, сбрасываются на устройства жертв, чтобы отключить решения безопасности и взять под контроль систему.

Широкий спектр групп угроз использовал эту технику в течение многих лет, начиная от финансово мотивированных группировок, занимающихся вымогательством, и заканчивая поддерживаемыми государством хакерскими организациями.

Совсем недавно исследователи безопасности Sophos X-Ops обнаружили новый хакерский инструмент, получивший название AuKill, который в реальных условиях используется для отключения программного обеспечения EDR с помощью уязвимого драйвера Process Explorer перед внедрением программы-вымогателя в атаках BYOVD.

Microsoft поделилась исправлением для камер, не работающих на ноутбуках Surface

Антивирусная программа Microsoft Defender получила «режим производительности» для Dev Drives

Вредоносные драйверы ядра Windows, используемые в атаках программ-вымогателей BlackCat

Обнаружение кражи данных с помощью Wazuh, XDR с открытым исходным кодом

Получите скидку 50 % на Malwarebytes Premium + Privacy в рамках этого ограниченного по времени предложения.