Una herramienta llamada Terminator apareció en uno de los foros de hackers rusos., y, según su autor, puede destruir cualquier programa antivirus, así como plataformas XDR y EDR. Especialistas en seguridad de la información también informaron que Debido a las sanciones, Los piratas informáticos rusos buscan nuevas formas de blanquear dinero. «terminador» supuestamente puede evitar un total de 24 diferentes soluciones antivirus, Detección y respuesta de terminales y Detección y respuesta ampliadas soluciones en dispositivos con Windows 7 y más alto.
La herramienta Terminator evita las herramientas antivirus
El autor de la herramienta., conocido por el seudónimo «chico espía«, vende su producto de $300 para que un tipo de derivación de detección $3,000 para todo tipo a la vez.
Para utilizar Terminator, Los clientes requieren privilegios administrativos en los sistemas Windows de destino., y por lo tanto es necesario engañar de alguna manera al usuario para que aceptando el Control de cuentas de usuario de Windows (UAC) surgir que se mostrará cuando se inicie la herramienta. Esto ya es un dolor de cabeza para el cliente., no para desarrolladores de software malicioso. Un ingeniero de CrowdStrike en su publicación en Reddit descubrió que «terminador» se vende bajo un eslogan más ruidoso de lo que realmente es. Como se vio despues, la herramienta simplemente descarga un archivo legítimo firmado Zemana controlador antivirus – «zamguard64.sys» o «zam64.sys» en el «C:\WindowsSystem32» carpeta del sistema de destino.
Después de que el controlador mencionado anteriormente se escriba en el disco, «terminador» lo carga para obtener privilegios elevados a nivel del kernel para finalizar los procesos del antivirus, EDR y XDR programas que se ejecutan en el dispositivo. Actualmente, sólo uno VirusTotal El motor de análisis antivirus detecta este controlador como vulnerable.. Afortunadamente, investigadores en Sistemas Nextrón ya han compartido indicadores de compromiso (
Entonces que?
BYOVD Los ataques son comunes entre los atacantes a quienes les gusta inyectar cargas útiles maliciosas. «silenciosamente». En este tipo de ataques, Los piratas informáticos utilizan controladores completamente legítimos con certificados válidos y la capacidad de ejecutarse con privilegios del kernel., usado, por supuesto, para otros fines – para desactivar las soluciones de seguridad y hacerse cargo del sistema. Diversos grupos de ciberdelincuentes llevan años utilizando esta técnica, desde pandillas con motivación financiera hasta grupos de hackers respaldados por el estado.
En abril, Sofos escribió sobre malware similar desarrollado por otro grupo de atacantes. Una herramienta de hacking llamada AuKill permitió a los delincuentes desactivar las soluciones EDR gracias a un controlador vulnerable de un programa legítimo de terceros, Explorador de procesos, e incluso fue utilizado por un tiempo en BloquearBit ataques.