Terminator antivirus killer est un pilote Windows vulnérable déguisé

Apr 10, 2023

Un acteur de la menace connu sous le nom de Spyboy fait la promotion d’un outil appelé « Terminator » sur un forum de piratage russophone qui peut prétendument mettre fin à n’importe quelle plate-forme antivirus, XDR et EDR. Cependant, CrowdStrike dit que c’est juste une attaque sophistiquée Bring Your Own Vulnerable Driver (BYOVD).

Terminator serait capable de contourner 24 solutions de sécurité antivirus (AV), EDR (Endpoint Detection and Response) et XDR (Extended Detection and Response), y compris Windows Defender, sur des appareils exécutant Windows 7 et versions ultérieures,

Spyboy vend le logiciel à des prix allant de 300 $ pour un seul contournement à 3 000 $ pour un contournement tout-en-un.

« Les EDR suivants ne peuvent pas être vendus seuls: SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, Cylance », a déclaré l’acteur de la menace, avec un avertissement selon lequel « les ransomwares et les casiers ne sont pas autorisés et je ne suis pas responsable de telles actions ».

Pour utiliser Terminator, les « clients » ont besoin de privilèges administratifs sur les systèmes Windows ciblés et doivent inciter l’utilisateur à accepter une fenêtre contextuelle de contrôle de compte d’utilisateur (UAC) qui s’affichera lors de l’exécution de l’outil.

Cependant, comme l’a révélé un ingénieur de CrowdStrike dans un post Reddit, Terminator dépose simplement le pilote légitime et signé du noyau anti-malware Zemana nommé zamguard64.sys ou zam64.sys dans le dossier C: \ Windows \ System32 \ avec un nom aléatoire entre 4 et 10 caractères.

Une fois le pilote malveillant écrit sur le disque, Terminator le charge pour utiliser ses privilèges au niveau du noyau afin de tuer les processus en mode utilisateur des logiciels AV et EDR exécutés sur le périphérique.

Bien qu’il ne soit pas clair comment le programme Terminator s’interface avec le pilote, un exploit PoC a été publié en 2021 qui exploite les failles du pilote pour exécuter des commandes avec des privilèges du noyau Windows, qui pourraient être utilisés pour mettre fin aux processus logiciels de sécurité normalement protégés.

Ce pilote n’est détecté que par un seul moteur d’analyse anti-malware en tant que pilote vulnérable pour le moment, selon une analyse VirusTotal.

Heureusement, Florian Roth, responsable de la recherche chez Nextron Systems, et Nasreddine Bencherchali, chercheur en menaces, ont déjà partagé les règles YARA et Sigma (par hachage et par nom) qui peuvent aider les défenseurs à détecter le conducteur vulnérable utilisé par l’outil Terminator.

Cette technique est répandue parmi les acteurs de la menace qui aiment installer des pilotes Windows vulnérables après avoir accumulé des privilèges pour contourner les logiciels de sécurité exécutés sur les machines compromises, exécuter du code malveillant et fournir des charges utiles malveillantes supplémentaires.

Dans les attaques BYOVD (Bring Your Own Vulnerable Driver), comme on les appelle, les pilotes légitimes signés avec des certificats valides et capables de fonctionner avec les privilèges du noyau sont déposés sur les appareils des victimes pour désactiver les solutions de sécurité et prendre le contrôle du système.

Un large éventail de groupes de menaces utilisent cette technique depuis des années, allant des gangs de rançongiciels motivés par des raisons financières aux sociétés de piratage soutenues par l’État.

Plus récemment, les chercheurs en sécurité de Sophos X-Ops ont repéré un nouvel outil de piratage baptisé AuKill utilisé dans la nature pour désactiver le logiciel EDR à l’aide d’un pilote Process Explorer vulnérable avant de déployer un ransomware dans des attaques BYOVD.

Microsoft partage un correctif pour les caméras qui ne fonctionnent pas sur les ordinateurs portables Surface

L’Antivirus Microsoft Defender obtient le « mode performance » pour les lecteurs de développement

Pilotes malveillants du noyau Windows utilisés dans les attaques de ransomware BlackCat

Détecter le vol de données avec Wazuh, le XDR open-source

Obtenez 50% de réduction sur Malwarebytes Premium + Privacy dans cette offre à durée limitée