CrowdStrike descrive in dettaglio Spyboy Terminator che ha detto di uccidere Microsoft Defender, Avast e altri EDR

Andrew Harris, Global Senior Director di CrowdStrike, ha condiviso i dettagli su “Terminator”, uno strumento di uccisione Endpoint Detection and Response (EDR) promosso da un attore di minacce chiamato “Spyboy”, sul Russian Anonymous Marketplace ( RAMPA). La campagna sembra essere iniziata il mese scorso, intorno al 21 maggio.

L’autore Spyboy afferma che questo strumento Terminator è in grado di disabilitare con successo ventitré controlli EDR e antivirus. Questi includono prodotti di Microsoft, Sophos, CrowdStrike, AVG, Avast, ESET, Kaspersky, Mcafee, BitDefender, Malwarebytes e altri. Il software viene venduto da US$ 300 (single bypass) a US$ 3.000 (all-in-one bypass).

CrowdStrike osserva che lo strumento di evasione Terminator EDR genera un file driver legittimo e firmato Zemana Anti-Malware, che viene utilizzato per sfruttare potenzialmente una vulnerabilità di sicurezza tracciata con l’ID ” CVE-2021-31728 “. Tuttavia, richiede privilegi elevati e accettazione del controllo dell’account utente (UAC). Solo Elastic rileva il file come dannoso mentre il file non viene rilevato da altri 70 fornitori secondo VirusTotal .

Harris afferma che lo strumento funziona in modo simile a come Bring Your Own Vulnerable Driver (BYOVD) disabilita i componenti di sicurezza presenti sul sistema:

Al momento della scrittura, il software Terminator richiede i privilegi amministrativi e l’accettazione dei controlli dell’account utente (UAC) per funzionare correttamente. Una volta eseguito con il giusto livello di privilegio, il binario scriverà un file driver legittimo e firmato — Zemana Anti-Malware — nella cartella C:\Windows\System32\drivers\ . Al file del driver viene assegnato un nome casuale compreso tra 4 e 10 caratteri.

Questa tecnica è simile ad altre campagne Bring Your Own Driver (BYOD) osservate utilizzate da attori di minacce negli ultimi anni.

In circostanze normali, il driver si chiamerebbe zamguard64.sys o zam64.sys . Il conducente è firmato da “Zemana Ltd.” e ha la seguente identificazione personale: 96A7749D856CB49DE32005BCDD8621F38E2B4C05 .

Una volta scritto su disco, il software carica il driver ed è stato osservato terminare i processi in modalità utente del software AV ed EDR.

In una demo, l’attore della minaccia ha mostrato che CrowdStike Falcon EDR è stato disabilitato con successo con l’aiuto di Terminator. L’immagine a sinistra (sotto) mostra Falcon ancora in esecuzione mentre l’immagine a destra mostra che il processo Falcon è stato terminato.

Puoi trovare maggiori dettagli tecnici sul killer Terminator EDR di Spyboy sul post di Andrew Harris su Reddit (tramite Soufiane su Twitter ).