ابزار “ترمیناتور” از درایور آسیب پذیر ویندوز برای از بین بردن تقریباً هر نرم افزار امنیتی استفاده می کند

سپس Terminator یک درایور هسته ضد بدافزار Zemana قانونی و امضا شده را در پوشه C:WindowsSystem32drivers می‌اندازد. به طور معمول، نام فایل مورد نظر “zam64.sys” یا “zamguard64.sys” است، اما Terminator نامی تصادفی بین چهار تا ده کاراکتر به آن می دهد. پس از تکمیل این فرآیند، ابزار به سادگی تمام فرآیندهای حالت کاربر ایجاد شده توسط نرم افزار آنتی ویروس یا EDR را خاتمه می دهد.

اندرو هریس که مدیر ارشد جهانی در CroudStrike است، توضیح می‌دهد که ترمیناتور اساساً نوع جدیدی از حمله محبوب Bring Your Own Vulnerable Driver (BYOVD) است. برای استفاده از آن، «کلینت‌ها» باید ابتدا امتیازات مدیریتی را در سیستم‌های هدف به دست آورند و کاربر را فریب دهند تا ابزار را از طریق پاپ آپ کنترل حساب کاربری (UAC) اجرا کند.

“ترمیناتور” در یک فروم هک روسی به نام Ramp توسط یک بازیگر مخرب معروف به Spyboy فروخته می شود، که تبلیغات ابزار فرار از نقطه پایانی را در 21 مه آغاز کرد. نویسنده ادعا می کند که این ابزار قادر به دور زدن اقدامات حفاظتی حداقل 23 امنیتی است. راه حل هایی با قیمت گذاری از 300 دلار برای یک بای پس تا 3000 دلار برای بای پس همه کاره.

چرا مهم است: حملات «راننده آسیب‌پذیر خود را بیاورید» از درایورهای قانونی استفاده می‌کنند که به هکرها اجازه می‌دهد به راحتی راه‌حل‌های امنیتی را در سیستم‌های هدف غیرفعال کنند و بدافزار اضافی را روی آن‌ها رها کنند. این روش در سال‌های اخیر در میان اپراتورهای باج‌افزار و هکرهای تحت حمایت دولت به یک تکنیک محبوب تبدیل شده است، و به نظر می‌رسد که عوامل مخرب راهی برای کارکرد آن بر روی تقریباً هر رایانه شخصی که دارای ویندوز است، پیدا کرده‌اند.

بخونید:  AMD طرح نامگذاری جدیدی را برای سال 2023 و پس از آن پردازنده های موبایل اعلام کرد

اعتبار سرصفحه: FLY:D



منبع

مکانیسم دقیق ترمیناتور مشخص نیست، اما یک حدس خوب این است که شبیه به یک سوء استفاده اثبات مفهومی که تحت CVE-2021-31727 و CVE-2021-31728 ردیابی می شود، کار می کند که امکان افشای قابلیت خواندن/نوشتن نامحدود دیسک را فراهم می کند. و اجرای دستورات با استفاده از امتیازات سطح هسته.

یک مهندس CrowdStrike یک تهدید امنیت سایبری جدید به نام “ترمیناتور” را فاش کرده است که ظاهراً می تواند تقریباً هر آنتی ویروس، تشخیص و پاسخ نقطه پایانی (EDR) و راه حل امنیتی تشخیص و پاسخ گسترده (XDR) را از بین ببرد.

از طرف دیگر، می‌توانید از قوانین YARA و Sigma که توسط محققان تهدید مانند Florian Roth و Nasreddine Bencherchali ایجاد شده‌اند، برای شناسایی سریع راننده آسیب‌پذیر با هش یا نام استفاده کنید. همچنین می‌توانید با مسدود کردن گواهی امضای درایور Zemana Anti-Malware، حمله را کاهش دهید.

در حالی که نویسنده این ابزار ادعا می کند که تنها 23 راه حل امنیتی را فریب می دهد، تجزیه و تحلیل VirusTotal نشان می دهد که فایل درایور مورد استفاده توسط Terminator توسط 71 AV و EDR شناسایی نشده است. فقط Elastic فایل را به‌عنوان مخرب بالقوه علامت‌گذاری کرد، اما هریس می‌گوید راه‌هایی برای تأیید قانونی بودن درایور با نظارت بر نوشتن فایل‌های غیر معمول در C:WindowsSystem32drivers وجود دارد.

Windows Defender یکی از AV هایی است که می توان آن را دور زد و این ابزار روی همه دستگاه هایی که ویندوز 7 و نسخه های بعدی دارند کار می کند. طبق اکثر تخمین‌ها، ویندوز ویستا و ویندوز XP اکنون بر روی کمتر از 1 درصد رایانه‌های شخصی اجرا می‌شوند، به این معنی که Terminator تقریباً بر همه کاربران ویندوز تأثیر می‌گذارد – حتی کسانی که از راه‌حل‌های امنیتی شخص ثالث از شرکت‌هایی مانند BitDefender، Avast استفاده نمی‌کنند. یا Malwarebytes.

بخونید:  Meta thinks it can charge up to $17 per month to eliminate ads on Facebook and Instagram