Terminator มีความสามารถในการปิดการใช้งานโซลูชั่นป้องกันไวรัส
เครื่องมือสำหรับการแฮกชื่อ Terminator มีความสามารถในการปิดการใช้งานโซลูชั่นป้องกันไวรัส
การตรวจจับและตอบสนองปลายทาง (EDR) และโซลูชั่นความปลอดภัย Extended Detection and Response (XDR) แต่ทาง CrowdStrike ได้ออกมาโต้แย้งเกี่ยวกับความสามารถเหล่านี้ว่า Terminator
เป็นเพียงรูปแบบที่ซับซ้อนของการโจมตี Bring Your Own Vulnerable Driver (BYOVD) เท่านั้น
รายละเอียดของเครื่องมือ Terminator:
- Terminator มีความสามารถการเลี่ยงโซลูชั่นป้องกันไวรัส, EDR และ XDR ที่แตกต่างกันมากถึง
24 รายการและรวมไปถึง Windows Defender
- Spyboy ผู้อยู่เบื้องหลัง Terminator ได้ทำการเสนอขายซอฟต์แวร์ในราคาที่แตกต่างกันขึ้นอยู่กับ
‘Single Bypass ‘ หรือ ‘ All-in-One Bypass ‘ ที่ค่อนข้างมีความครอบคลุม - Spyboy ระบุว่า EDR บางตัว เช่น SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex
และ Cylance ไม่สามารถขายทีละรายการได้ และยังระบุด้วยว่าจะไม่รับผิดชอบต่อการกระทำใด ๆ
ที่เกี่ยวข้องกับแรนซัมแวร์หรือล็อกเกอร์
แต่ละเอียดข้างต้นที่กล่าวมานั้นถูกโต้แย้งโดยวิศวกรจาก CrowdStrike ว่า Terminator
เพียงแค่ปล่อย Zemana Anti-Malware Kernel Driver และตั้งชื่อ zamguard64.sys หรือ zam64.sys
ลงในไดเรกทอรี C:\Windows\System32\ ที่มีชื่อที่สร้างขึ้นแบบสุ่มระหว่าง 4 ถึง 10 ตัวอักษร
ดังรายละเอียดด้านล่างนี้:
- เมื่อไดรเวอร์ที่เป็นอันตรายถูกเขียนลงในดิสก์ Terminator จะโหลดไดรเวอร์ดังกล่าว
เพื่อใช้ประโยชน์จากสิทธิ์ระดับ Kernel ทำให้สามารถหยุดการทำงานของกระบวนการ User-Mode
ที่เกี่ยวข้องกับซอฟต์แวร์ AV
และ EDR บนอุปกรณ์ที่โดนโจมตีได้ - การใช้ Terminator ไคลเอนต์ต้องมีสิทธิ์ระดับผู้ดูแลระบบ บนระบบ Windows
โดยมีการกำหนดเป้าหมายที่หลอกลวงผู้ใช้ให้ยอมรับป๊อปอัป User Account Controls (UAC)
ที่ปรากฏขึ้นเมื่อเรียกใช้เครื่องมือ
- เทคนิคการโจมตีของ Terminator นี้คล้ายกับแคมเปญ BYOVD อื่น ๆ ที่ถูกค้นพบ
ปัจจุบัน Driver ที่มีช่องโหว่ที่ถูกใช้โดย Terminator จะถูกระบุด้วยเครื่องมือสแกนมัลแวร์แบบเดียวเท่านั้น
ตามที่ระบุโดย VirusTotal Scan โชคดีที่ Florian Roth หัวหน้าฝ่ายวิจัยของ Nextron Systems
และ Nasreddine Bencherchali นักวิจัยด้านภัยคุกคามได้แบ่งปัน YARA และ Sigma Rules
ซึ่งช่วยให้สามารถตรวจจับและระบุการมีอยู่ของ Driver ที่มีช่องโหว่ในระบบของผู้ใช้งานได้
คำแนะนำ
- ควรอัปเดตแพชต์ของ XDR และ EDR ให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ
- ควรใช้ Driver ที่มี Signature Enforcement ที่ถูกต้อง
- ควรประเมินตรวจสอบและแก้ไขเกี่ยวกับการโจมตี BYOVD
Ref: https://cyware.com/news/the-hidden-menace-of-the-terminator-antivirus-killer-6bfe567d