سپس Terminator یک درایور هسته ضد بدافزار Zemana قانونی و امضا شده را در پوشه C:WindowsSystem32drivers میاندازد. به طور معمول، نام فایل مورد نظر “zam64.sys” یا “zamguard64.sys” است، اما Terminator نامی تصادفی بین چهار تا ده کاراکتر به آن می دهد. پس از تکمیل این فرآیند، ابزار به سادگی تمام فرآیندهای حالت کاربر ایجاد شده توسط نرم افزار آنتی ویروس یا EDR را خاتمه می دهد.
اندرو هریس که مدیر ارشد جهانی در CroudStrike است، توضیح میدهد که ترمیناتور اساساً نوع جدیدی از حمله محبوب Bring Your Own Vulnerable Driver (BYOVD) است. برای استفاده از آن، «کلینتها» باید ابتدا امتیازات مدیریتی را در سیستمهای هدف به دست آورند و کاربر را فریب دهند تا ابزار را از طریق پاپ آپ کنترل حساب کاربری (UAC) اجرا کند.
“ترمیناتور” در یک فروم هک روسی به نام Ramp توسط یک بازیگر مخرب معروف به Spyboy فروخته می شود، که تبلیغات ابزار فرار از نقطه پایانی را در 21 مه آغاز کرد. نویسنده ادعا می کند که این ابزار قادر به دور زدن اقدامات حفاظتی حداقل 23 امنیتی است. راه حل هایی با قیمت گذاری از 300 دلار برای یک بای پس تا 3000 دلار برای بای پس همه کاره.
چرا مهم است: حملات «راننده آسیبپذیر خود را بیاورید» از درایورهای قانونی استفاده میکنند که به هکرها اجازه میدهد به راحتی راهحلهای امنیتی را در سیستمهای هدف غیرفعال کنند و بدافزار اضافی را روی آنها رها کنند. این روش در سالهای اخیر در میان اپراتورهای باجافزار و هکرهای تحت حمایت دولت به یک تکنیک محبوب تبدیل شده است، و به نظر میرسد که عوامل مخرب راهی برای کارکرد آن بر روی تقریباً هر رایانه شخصی که دارای ویندوز است، پیدا کردهاند.
مکانیسم دقیق ترمیناتور مشخص نیست، اما یک حدس خوب این است که شبیه به یک سوء استفاده اثبات مفهومی که تحت CVE-2021-31727 و CVE-2021-31728 ردیابی می شود، کار می کند که امکان افشای قابلیت خواندن/نوشتن نامحدود دیسک را فراهم می کند. و اجرای دستورات با استفاده از امتیازات سطح هسته.
یک مهندس CrowdStrike یک تهدید امنیت سایبری جدید به نام “ترمیناتور” را فاش کرده است که ظاهراً می تواند تقریباً هر آنتی ویروس، تشخیص و پاسخ نقطه پایانی (EDR) و راه حل امنیتی تشخیص و پاسخ گسترده (XDR) را از بین ببرد.
از طرف دیگر، میتوانید از قوانین YARA و Sigma که توسط محققان تهدید مانند Florian Roth و Nasreddine Bencherchali ایجاد شدهاند، برای شناسایی سریع راننده آسیبپذیر با هش یا نام استفاده کنید. همچنین میتوانید با مسدود کردن گواهی امضای درایور Zemana Anti-Malware، حمله را کاهش دهید.
در حالی که نویسنده این ابزار ادعا می کند که تنها 23 راه حل امنیتی را فریب می دهد، تجزیه و تحلیل VirusTotal نشان می دهد که فایل درایور مورد استفاده توسط Terminator توسط 71 AV و EDR شناسایی نشده است. فقط Elastic فایل را بهعنوان مخرب بالقوه علامتگذاری کرد، اما هریس میگوید راههایی برای تأیید قانونی بودن درایور با نظارت بر نوشتن فایلهای غیر معمول در C:WindowsSystem32drivers وجود دارد.
Windows Defender یکی از AV هایی است که می توان آن را دور زد و این ابزار روی همه دستگاه هایی که ویندوز 7 و نسخه های بعدی دارند کار می کند. طبق اکثر تخمینها، ویندوز ویستا و ویندوز XP اکنون بر روی کمتر از 1 درصد رایانههای شخصی اجرا میشوند، به این معنی که Terminator تقریباً بر همه کاربران ویندوز تأثیر میگذارد – حتی کسانی که از راهحلهای امنیتی شخص ثالث از شرکتهایی مانند BitDefender، Avast استفاده نمیکنند. یا Malwarebytes.
