CrowdStrike descrive in dettaglio Spyboy Terminator che ha detto di uccidere Microsoft Defender, Avast e altri EDR

CrowdStrike descrive in dettaglio Spyboy Terminator che ha detto di uccidere Microsoft Defender, Avast e altri EDR
Sfondo viola con serratura ad apertura teschio con chiave

Andrew Harris, Global Senior Director di CrowdStrike, ha condiviso i dettagli su “Terminator”, uno strumento di uccisione Endpoint Detection and Response (EDR) promosso da un attore di minacce chiamato “Spyboy”, sul Russian Anonymous Marketplace ( RAMPA). La campagna sembra essere iniziata il mese scorso, intorno al 21 maggio.

L’autore Spyboy afferma che questo strumento Terminator è in grado di disabilitare con successo ventitré controlli EDR e antivirus. Questi includono prodotti di Microsoft, Sophos, CrowdStrike, AVG, Avast, ESET, Kaspersky, Mcafee, BitDefender, Malwarebytes e altri. Il software viene venduto da US$ 300 (single bypass) a US$ 3.000 (all-in-one bypass).

CrowdStrike osserva che lo strumento di evasione Terminator EDR genera un file driver legittimo e firmato Zemana Anti-Malware, che viene utilizzato per sfruttare potenzialmente una vulnerabilità di sicurezza tracciata con l’ID ” CVE-2021-31728 “. Tuttavia, richiede privilegi elevati e accettazione del controllo dell’account utente (UAC). Solo Elastic rileva il file come dannoso mentre il file non viene rilevato da altri 70 fornitori secondo VirusTotal .

Harris afferma che lo strumento funziona in modo simile a come Bring Your Own Vulnerable Driver (BYOVD) disabilita i componenti di sicurezza presenti sul sistema:

Al momento della scrittura, il software Terminator richiede i privilegi amministrativi e l’accettazione dei controlli dell’account utente (UAC) per funzionare correttamente. Una volta eseguito con il giusto livello di privilegio, il binario scriverà un file driver legittimo e firmato — Zemana Anti-Malware — nella cartella C:\Windows\System32\drivers\ . Al file del driver viene assegnato un nome casuale compreso tra 4 e 10 caratteri.

Questa tecnica è simile ad altre campagne Bring Your Own Driver (BYOD) osservate utilizzate da attori di minacce negli ultimi anni.

In circostanze normali, il driver si chiamerebbe zamguard64.sys o zam64.sys . Il conducente è firmato da “Zemana Ltd.” e ha la seguente identificazione personale: 96A7749D856CB49DE32005BCDD8621F38E2B4C05 .

Una volta scritto su disco, il software carica il driver ed è stato osservato terminare i processi in modalità utente del software AV ed EDR.

In una demo, l’attore della minaccia ha mostrato che CrowdStike Falcon EDR è stato disabilitato con successo con l’aiuto di Terminator. L’immagine a sinistra (sotto) mostra Falcon ancora in esecuzione mentre l’immagine a destra mostra che il processo Falcon è stato terminato.

Crowdstrike Falcon EDR disattivato da Spyboy Terminator Crowdstrike Falcon EDR disattivato da Spyboy Terminator

Puoi trovare maggiori dettagli tecnici sul killer Terminator EDR di Spyboy sul post di Andrew Harris su Reddit (tramite Soufiane su Twitter ).

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *