CrowdStrike detalha Spyboy Terminator disse para matar o Microsoft Defender, Avast e mais EDRs

Andrew Harris, que é o Diretor Sênior Global da CrowdStrike, compartilhou detalhes sobre o “Terminator”, uma ferramenta de eliminação de Endpoint Detection and Response (EDR) que está sendo promovida por um agente de ameaças chamado “Spyboy”, no mercado anônimo russo ( RAMPA). A campanha aparentemente começou no mês passado, por volta de 21 de maio.

O autor Spyboy afirma que esta ferramenta Terminator é capaz de desabilitar com sucesso vinte e três controles de EDR e antivírus. Isso inclui produtos da Microsoft, Sophos, CrowdStrike, AVG, Avast, ESET, Kaspersky, Mcafee, BitDefender, Malwarebytes e muito mais. O software está sendo vendido por US$ 300 (desvio único) a US$ 3.000 (desvio completo).

A CrowdStrike observa que a ferramenta de evasão Terminator EDR gera um arquivo de driver legítimo e assinado Zemana Anti-Malware, que está sendo usado para explorar potencialmente uma vulnerabilidade de segurança rastreada sob o ID “CVE-2021-31728 ” . No entanto, requer privilégios elevados e aceitação do Controle de Conta de Usuário (UAC). Somente a Elastic detecta o arquivo como malicioso, enquanto o arquivo não é detectado por 70 outros fornecedores de acordo com o VirusTotal .

Harris diz que a ferramenta funciona de forma semelhante a como Bring Your Own Vulnerable Driver (BYOVD) desativa os componentes de segurança presentes no sistema:

No momento da redação, o software Terminator requer privilégios administrativos e aceitação de Controles de Conta de Usuário (UAC) para funcionar corretamente. Uma vez executado com o nível adequado de privilégio, o binário gravará um arquivo de driver legítimo e assinado — Zemana Anti-Malware — na pasta C:\Windows\System32\drivers\ . O arquivo do driver recebe um nome aleatório entre 4 e 10 caracteres.

Essa técnica é semelhante a outras campanhas Traga seu próprio driver (BYOD) observadas sendo usadas por agentes de ameaças nos últimos anos.

Em circunstâncias normais, o driver seria nomeado zamguard64.sys ou zam64.sys . O motorista é assinado por “Zemana Ltd.” e tem a seguinte impressão digital: 96A7749D856CB49DE32005BCDD8621F38E2B4C05 .

Depois de gravado no disco, o software carrega o driver e foi observado encerrando os processos do modo de usuário do software AV e EDR.

Em uma demonstração, o ator da ameaça mostrou que o CrowdStike Falcon EDR foi desativado com sucesso com a ajuda do Terminator. A imagem à esquerda (abaixo) mostra o Falcon ainda em execução, enquanto a imagem à direita mostra que o processo do Falcon foi encerrado.

Você pode encontrar mais detalhes técnicos sobre o assassino Terminator EDR do Spyboy no post de Andrew Harris no Reddit (via Soufiane no Twitter ).