Quer apoiar meu projeto de divulgação de noticias? E ainda divulgar suas redes sociais
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/terminator-antivirus-killer-is-a-vulnerable-windows-driver-in-disguise/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #terminator #antivírus #killer #é #um #driver #vulnerável #do #windows #disfarçado
Um agente de ameaças conhecido como Spyboy está promovendo uma ferramenta chamada "Terminator" em um fórum de hackers de língua russa que supostamente pode encerrar qualquer plataforma de antivírus, XDR e EDR. No entanto, a CrowdStrike diz que é apenas um ataque sofisticado de Bring Your Own Vulnerable Driver (BYOVD).
O Terminator é supostamente capaz de contornar 24 soluções de segurança de antivírus (AV), detecção e resposta de endpoint (EDR) e detecção e resposta estendida (XDR), incluindo o Windows Defender, em dispositivos com Windows 7 e posterior,
O Spyboy vende o software por preços que variam de US$ 300 para um único bypass a US$ 3.000 para um bypass completo.
"Os seguintes EDRs não podem ser vendidos sozinhos: SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, Cylance", diz o agente da ameaça, com um aviso de que "Ransomware e armários não são permitidos e não sou responsável por tais ações."
Para usar o Terminator, os "clientes" exigem privilégios administrativos nos sistemas Windows de destino e precisam induzir o usuário a aceitar um pop-up de Controles de Conta de Usuário (UAC) que será exibido ao executar a ferramenta.
No entanto, como um engenheiro da CrowdStrike revelou em uma postagem do Reddit, o Terminator apenas coloca o driver de kernel anti-malware Zemana legítimo e assinado chamado zamguard64.sys ou zam64.sys na pasta C:\Windows\System32\ com um nome aleatório entre 4 e 10 caracteres.
Depois que o driver malicioso é gravado no disco, o Terminator o carrega para usar seus privilégios no nível do kernel para eliminar os processos de modo de usuário do software AV e EDR em execução no dispositivo.
Embora não esteja claro como o programa Terminator está interagindo com o driver, uma exploração PoC foi lançada em 2021 que explora falhas no driver para executar comandos com privilégios do Kernel do Windows, que podem ser usados para encerrar processos de software de segurança normalmente protegidos.
Este driver está sendo detectado apenas por um único mecanismo de verificação antimalware como um driver vulnerável no momento, de acordo com uma verificação do VirusTotal.
Felizmente, o chefe de pesquisa da Nextron Systems, Florian Roth, e o pesquisador de ameaças Nasreddine Bencherchali já compartilharam regras YARA e Sigma (por hash e por nome) que podem ajudar os defensores a detectar o driver vulnerável usado pela ferramenta Terminator.
Essa técnica é predominante entre os agentes de ameaças que gostam de instalar drivers vulneráveis do Windows depois de aumentar os privilégios para ignorar o software de segurança em execução nas máquinas comprometidas, executar códigos maliciosos e fornecer cargas maliciosas adicionais.
Nos ataques Bring Your Own Vulnerable Driver (BYOVD), como são conhecidos, drivers legítimos assinados com certificados válidos e capazes de rodar com privilégios de kernel são descartados nos dispositivos das vítimas para desabilitar as soluções de segurança e assumir o controle do sistema.
Uma grande variedade de grupos de ameaças usa a técnica há anos, desde gangues de ransomware com motivação financeira até grupos de hackers apoiados pelo estado.
Mais recentemente, os pesquisadores de segurança da Sophos X-Ops detectaram uma nova ferramenta de hacking chamada AuKill usada na natureza para desativar o software EDR com a ajuda de um driver vulnerável do Process Explorer antes de implantar ransomware em ataques BYOVD.
Postar um comentário