CrowdStrike szczegóły Spyboy Terminator powiedział, że zabił Microsoft Defender, Avast i więcej EDR

Andrew Harris, który jest globalnym starszym dyrektorem w CrowdStrike, podzielił się szczegółami dotyczącymi „Terminatora”, narzędzia do zabijania punktów końcowych i reagowania (EDR), które jest promowane przez cyberprzestępcę o nazwie „Spyboy” na rosyjskim anonimowym rynku ( RAMPA). Kampania najwyraźniej rozpoczęła się w zeszłym miesiącu, około 21 maja.

Autor Spyboy twierdzi, że to narzędzie Terminator jest w stanie skutecznie wyłączyć dwadzieścia trzy kontrole EDR i antywirusowe. Należą do nich produkty firm Microsoft, Sophos, CrowdStrike, AVG, Avast, ESET, Kaspersky, Mcafee, BitDefender, Malwarebytes i innych. Oprogramowanie jest sprzedawane w cenie od 300 USD (pojedyncze obejście) do 3000 USD (wszystko w jednym obejściu).

CrowdStrike zauważa, że ​​narzędzie Terminator EDR do unikania ataków generuje legalny, podpisany plik sterownika Zemana Anti-Malware, który jest używany do potencjalnego wykorzystania luki w zabezpieczeniach śledzonej pod identyfikatorem „ CVE-2021-31728 ”. Wymaga jednak podwyższonych uprawnień i akceptacji Kontroli konta użytkownika (UAC). Tylko Elastic wykrywa plik jako szkodliwy, podczas gdy według VirusTotal nie wykrywa go 70 innych dostawców .

Harris mówi, że narzędzie działa w sposób podobny do tego, w jaki sposób Bring Your Own Vulnerable Driver (BYOVD) wyłącza komponenty bezpieczeństwa obecne w systemie:

W chwili pisania tego tekstu oprogramowanie Terminator wymagało uprawnień administracyjnych i akceptacji kontroli konta użytkownika (UAC) do prawidłowego działania. Po uruchomieniu z odpowiednim poziomem uprawnień plik binarny zapisze legalny, podpisany plik sterownika — Zemana Anti-Malware — w folderze C:\Windows\System32\drivers \. Plik sterownika otrzymuje losową nazwę zawierającą od 4 do 10 znaków.

Technika ta jest podobna do innych kampanii Bring Your Own Driver (BYOD), które były wykorzystywane przez cyberprzestępców w ciągu ostatnich kilku lat.

W normalnych okolicznościach sterownik miałby nazwę zamguard64.sys lub zam64.sys . Kierowca jest podpisany przez „Zemana Ltd.” i ma następujący odcisk palca: 96A7749D856CB49DE32005BCDD8621F38E2B4C05 .

Po zapisaniu na dysku oprogramowanie ładuje sterownik i zaobserwowano zakończenie procesów trybu użytkownika oprogramowania AV i EDR.

W demonstracji cyberprzestępca pokazał, że CrowdStike Falcon EDR został pomyślnie wyłączony przy pomocy Terminatora. Obraz po lewej stronie (poniżej) pokazuje, że Falcon nadal działa, podczas gdy prawy obraz pokazuje, że proces Falcona został zakończony.

Więcej szczegółów technicznych na temat zabójcy Terminator EDR firmy Spyboy można znaleźć w poście Andrew Harrisa na Reddicie (przez Soufiane na Twitterze ).