Il killer antivirus Terminator è un driver Windows vulnerabile sotto mentite spoglie

Apr 10, 2023

Un attore di minacce noto come Spyboy sta promuovendo uno strumento chiamato "Terminator" su un forum di hacking di lingua russa che potrebbe presumibilmente terminare qualsiasi piattaforma antivirus, XDR e EDR. Tuttavia, CrowdStrike afferma che si tratta solo di un fantasioso attacco Bring Your Own Vulnerable Driver (BYOVD).

Terminator è presumibilmente in grado di aggirare 24 diverse soluzioni di sicurezza antivirus (AV), Endpoint Detection and Response (EDR) ed Extended Detection and Response (XDR), incluso Windows Defender, su dispositivi che eseguono Windows 7 e versioni successive,

Spyboy vende il software a prezzi che vanno da 300 dollari per un bypass singolo a 3.000 dollari per un bypass tutto in uno.

"I seguenti EDR non possono essere venduti da soli: SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, Cylance", afferma l'autore della minaccia, precisando che "ransomware e locker non sono ammessi e non sono responsabile di tali azioni".

Per utilizzare Terminator, i "client" richiedono privilegi amministrativi sui sistemi Windows di destinazione e devono indurre l'utente ad accettare un pop-up Controllo account utente (UAC) che verrà visualizzato durante l'esecuzione dello strumento.

Tuttavia, come rivelato da un ingegnere di CrowdStrike in un post su Reddit, Terminator rilascia semplicemente il driver del kernel anti-malware Zemana legittimo e firmato denominato zamguard64.sys o zam64.sys nella cartella C:\Windows\System32\ con un nome casuale compreso tra 4 e 10 caratteri.

Dopo che il driver dannoso è stato scritto sul disco, Terminator lo carica per utilizzare i suoi privilegi a livello di kernel per interrompere i processi in modalità utente del software AV ed EDR in esecuzione sul dispositivo.

Sebbene non sia chiaro come il programma Terminator si interfaccia con il driver, nel 2021 è stato rilasciato un exploit PoC che sfrutta i difetti del driver per eseguire comandi con i privilegi del kernel di Windows, che potrebbero essere utilizzati per terminare i processi del software di sicurezza normalmente protetti.

​Al momento questo driver viene rilevato da un singolo motore di scansione anti-malware come driver vulnerabile, secondo una scansione di VirusTotal.

Fortunatamente, il capo della ricerca di Nextron Systems Florian Roth e il ricercatore di minacce Nasreddine Bencherchali hanno già condiviso le regole YARA e Sigma (per hash e per nome) che possono aiutare i difensori a rilevare il driver vulnerabile utilizzato dallo strumento Terminator.

Questa tecnica è prevalente tra gli autori delle minacce che preferiscono installare driver Windows vulnerabili dopo aver aumentato i privilegi per aggirare il software di sicurezza in esecuzione sulle macchine compromesse, eseguire codice dannoso e fornire ulteriori payload dannosi.

Negli attacchi Bring Your Own Vulnerable Driver (BYOVD), come sono noti, driver legittimi firmati con certificati validi e in grado di funzionare con privilegi kernel vengono rilasciati sui dispositivi delle vittime per disabilitare le soluzioni di sicurezza e prendere il controllo del sistema.

Un vasto assortimento di gruppi di minacce utilizza questa tecnica da anni, dalle bande di ransomware motivate finanziariamente alle organizzazioni di hacking sostenute dallo stato.

Più recentemente, i ricercatori di sicurezza di Sophos X-Ops hanno individuato un nuovo strumento di hacking denominato AuKill utilizzato in natura per disabilitare il software EDR con l'aiuto di un driver vulnerabile di Process Explorer prima di distribuire il ransomware negli attacchi BYOVD.

Microsoft condivide la correzione per le fotocamere che non funzionano sui laptop Surface

Microsoft Defender Antivirus ottiene la "modalità prestazioni" per Dev Drives

Driver del kernel Windows dannosi utilizzati negli attacchi ransomware BlackCat

Rilevamento del furto di dati con Wazuh, l'XDR open source

Ottieni uno sconto del 50% su Malwarebytes Premium + Privacy con questa offerta a tempo limitato