CrowdStrike detalla que Spyboy Terminator matará a Microsoft Defender, Avast y más EDR

Andrew Harris, quien es el director sénior global de CrowdStrike, ha compartido detalles sobre «Terminator», una herramienta de destrucción de detección y respuesta de punto final (EDR) que está siendo promovida por un actor de amenazas llamado «Spyboy», en el mercado anónimo ruso ( RAMPA). La campaña aparentemente comenzó el mes pasado, alrededor del 21 de mayo.

El autor Spyboy afirma que esta herramienta Terminator puede deshabilitar con éxito veintitrés EDR y controles antivirus. Estos incluyen productos de Microsoft, Sophos, CrowdStrike, AVG, Avast, ESET, Kaspersky, Mcafee, BitDefender, Malwarebytes y más. El software se vende a un precio de 300 USD (bypass único) a 3000 USD (bypass todo en uno).

CrowdStrike señala que la herramienta de evasión Terminator EDR genera un archivo de controlador legítimo y firmado Zemana Anti-Malware, que se utiliza para explotar potencialmente una vulnerabilidad de seguridad rastreada con el ID » CVE-2021-31728 «. Sin embargo, requiere privilegios elevados y la aceptación del Control de cuentas de usuario (UAC). Solo Elastic detecta el archivo como malicioso, mientras que otros 70 proveedores no lo detectan, según VirusTotal .

Harris dice que la herramienta funciona de manera similar a como Bring Your Own Vulnerable Driver (BYOVD) desactiva los componentes de seguridad presentes en el sistema:

En el momento de escribir este artículo, el software Terminator requiere privilegios administrativos y la aceptación de Controles de cuentas de usuario (UAC) para funcionar correctamente. Una vez ejecutado con el nivel adecuado de privilegios, el binario escribirá un archivo de controlador legítimo y firmado, Zemana Anti-Malware, en la carpeta C:\Windows\System32\drivers \. El archivo del controlador recibe un nombre aleatorio de entre 4 y 10 caracteres.

Esta técnica es similar a otras campañas de Bring Your Own Driver (BYOD) observadas por los actores de amenazas en los últimos años.

En circunstancias normales, el controlador se llamaría zamguard64.sys o zam64.sys . El controlador está firmado por “Zemana Ltd.” y tiene la siguiente huella digital: 96A7749D856CB49DE32005BCDD8621F38E2B4C05 .

Una vez escrito en el disco, el software carga el controlador y se ha observado que finaliza los procesos de modo de usuario del software AV y EDR.

En una demostración, el actor de amenazas mostró que CrowdStike Falcon EDR se deshabilitó con éxito con la ayuda de Terminator. La imagen de la izquierda (abajo) muestra que Falcon aún se está ejecutando, mientras que la imagen de la derecha muestra que el proceso de Falcon se terminó.

Puede encontrar más detalles técnicos sobre el asesino Terminator EDR de Spyboy en la publicación de Andrew Harris en Reddit (a través de Soufiane en Twitter ).