Стоит ли верить в громкие заявления хакеров, которые отчаянно пытаются продать свой софт?
На одном из русскоязычных хакерских форумов появился инструмент под названием «Terminator», который, по утверждению его автора, способен уничтожить любую антивирусную программу (AV), а также платформы XDR и EDR. Сильное заявление, не правда ли?
«Terminator» якобы может обойти суммарно 24 различных антивирусных решения, Endpoint Detection and Response и Extended Detection and Response решений на устройствах с Windows 7 и выше.
Автор инструмента, известный под псевдонимом «Spyboy», продает свой продукт от 300 долларов за один тип обхода обнаружения до 3000 долларов за все типы сразу.
«Следующие EDR не могут быть проданы отдельно: SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, Cylance», — заявляет хакер, добавляя: «Вымогательский софт и локеры запрещены, и я не несу ответственности за такие действия».
Для использования «Terminator» клиентам требуются административные привилегии на целевых системах Windows, в связи с чем необходимо как-то обмануть пользователя, чтобы он принял всплывающее окно «Контроля учётных записей» Windows (UAC), которое будет отображаться при запуске инструмента. Это уже головная боль клиента, а не разработчика вредоносного софта.
Инженер компании CrowdStrike в своём посте на Reddit выяснил, что «Terminator» продаётся под более громким лозунгом, нежели представляет из себя на самом деле. Как оказалось, инструмент просто сбрасывает в папку «C:\Windows\System32\» целевой системы легитимный подписанный драйвер антивируса Zemana — «zamguard64.sys» или «zam64.sys».
После того, как вышеупомянутый драйвер записывается на диск, «Terminator» загружает его для получения повышенных привилегий на уровне ядра для завершения процессов антивирусов, EDR и XDR программ, работающих на устройстве.
В настоящее время этот драйвер обнаруживается только одним сканирующим движком антивируса VirusTotal как уязвимый. К счастью, исследователи компании Nextron Systems уже поделились индикаторами компрометации (IoC), которые могут помочь специалистам безопасности обнаружить уязвимый драйвер, используемый инструментом «Terminator», до того, как он успеет нанести вред.
BYOVD-атаки распространены среди злоумышленников, которые любят внедрять вредоносные полезные нагрузки «без шума и пыли». В подобного рода атаках хакеры используют абсолютно законные драйверы с действительными сертификатами и способные работать с привилегиями ядра, используемые, разумеется, не по назначению — для отключения решений безопасности и захвата системы.
Широкий спектр киберпреступных группировок использует эту технику в течение многих лет, начиная финансово-мотивированными бандами, заканчивая поддерживаемыми государством хакерскими группировками.
В апреле мы уже писали о подобном вредоносном ПО, разработанным другой группой злоумышленников. Хакерский инструмент под названием AuKill позволял преступникам отключать EDR-решения благодаря уязвимому драйверу легитимной сторонней программы Process Explorer и даже какое-то время использовался в атаках LockBit.
Никаких овечек — только отборные научные факты