CrowdStrike が、Microsoft Defender、Avast、その他の EDR を破壊すると言われている Spyboy Terminator について詳しく説明しています

2023/06/02

CrowdStrike のグローバルシニアディレクターである Andrew Harris 氏は、ロシアの匿名マーケットプレイス上で「Spyboy」という名前の脅威アクターによって宣伝されているエンドポイント検出および対応 (EDR) 殺害ツール「ターミネーター」についての詳細を共有しました (ランプ）。このキャンペーンは先月、5月21日頃から始まったようだ。

著者の Spyboy は、この Terminator ツールは 23 の EDR およびウイルス対策コントロールを無効にできると主張しています。これらには、Microsoft、Sophos、CrowdStrike、AVG、Avast、ESET、Kaspersky、Mcafee、BitDefender、Malwarebytes などの製品が含まれます。ソフトウェアは 300 米ドル (シングルバイパス) から 3,000 米ドル (オールインワンバイパス) で販売されています。

CrowdStrike は、Terminator EDR 回避ツールが正規の署名付きドライバーファイル Zemana Anti-Malware を生成し、これが ID「 CVE-2021-31728」で追跡されているセキュリティ脆弱性を悪用するために使用されている可能性があると指摘しています。ただし、昇格された特権とユーザーアカウント制御 (UAC) の承認が必要です。VirusTotalによると、このファイルは他の 70 ベンダーでは検出されませんが、Elastic のみがファイルを悪意のあるものとして検出します。

Harris 氏は、このツールは、Bring Your Own Vulnerable Driver (BYOVD) がシステム上に存在するセキュリティコンポーネントを無効にするのと同じように機能すると述べています。

執筆時点では、Terminator ソフトウェアが適切に機能するには、管理者権限とユーザーアカウント制御 (UAC) の承認が必要です。適切なレベルの特権で実行されると、バイナリは正規の署名付きドライバーファイル (Zemana Anti-Malware) をC:\Windows\System32\drivers\フォルダーに書き込みます。ドライバーファイルには、4 ～ 10 文字のランダムな名前が付けられます。

この手法は、過去数年間に脅威アクターによって使用されていることが観察された他のBring Your Own Driver (BYOD)キャンペーンに似ています。

通常の状況では、ドライバーの名前はzamguard64.sysまたはzam64.sysになります。ドライバーには「Zemana Ltd.」の署名が入っています。サムプリントは次のとおりです: 96A7749D856CB49DE32005BCDD8621F38E2B4C05。

ディスクに書き込まれると、ソフトウェアはドライバーをロードし、AV および EDR ソフトウェアのユーザーモードプロセスを終了することが確認されています。

デモでは、脅威アクターは Terminator の助けを借りて CrowdStike Falcon EDR を無効化することに成功したことを示しました。左側 (下) の画像は Falcon がまだ実行中であることを示し、右側の画像は Falcon プロセスが終了したことを示しています。