Tool ตัวใหม่ที่ชื่อว่า "Terminator" กำลังได้รับการแพร่โดยผู้ไม่หวังดีชื่อ 'Spyboy' บนฟอรัมผู้ไม่ประสงค์ดีของรัสเซีย โดย Tool นี้ถูกอ้างว่าสามารถปิดการทำงานของซอฟแวร์ป้องกันไวรัส, Endpoint Detection and Response (EDR) และ Extended Detection and Response (XDR) ได้
อย่างไรก็ตามบริษัทด้านความปลอดภัยทางไซเบอร์อย่าง CrowdStrike ได้ปฏิเสธคำกล่าวอ้างเหล่านี้ โดยระบุว่า Terminator เพียงใช้วิธีการโจมตีที่เรียกว่า Bring Your Own Vulnerable Driver (BYOVD) มาใช้เท่านั้น
รายละเอียดของ Terminator
ตามรายงาน Terminator มีความสามารถในการหลีกเลี่ยงการตรวจจับจากโซลูชันด้านความปลอดภัยได้ถึง 24 รายการ ซึ่งรวมถึงแอนตี้ไวรัส, EDR, XDR และ Windows Defender
Spyboy ซึ่งเป็นผู้ที่อยู่เบื้องหลัง Terminator ได้นำเสนอซอฟต์แวร์นี้ในราคาที่แตกต่างกันตามรูปแบบ เช่น 'single bypass' หรือแบบครอบคลุม 'all-in-one bypass'
Spyboy ระบุว่าการหลีกเลี่ยงการตรวจจับจาก EDR บางรายการ เช่น SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex และ Cylance ไม่สามารถขายแยกได้ นอกจากนี้ยังมีระบุว่าไม่รับผิดชอบต่อการกระทำใด ๆ ที่เกี่ยวข้องกับแรนซัมแวร์ หรือการเข้ารหัสอื่น ๆ
โดยรายงานจากวิศวกรของ CrowdStrike ใน Reddit ระบุว่า Terminator นั้นแค่ดรอปไฟล์ไดรเวอร์ที่ผ่านการตรวจสอบ และลงทะเบียนอย่างถูกต้องจาก Zemana anti-malware kernel driver ซึ่งไฟล์ไดรเวอร์จะชื่อ zamguard64.sys หรือ zam64.sys และเก็บไว้ในไดเรกทอรี C:\Windows\System32\ โดยใช้ชื่อที่สุ่มมาตั้งแต่ 4 ถึง 10 ตัวอักษร
เมื่อไดรเวอร์ที่เป็นมัลแวร์ถูกเขียนลงบนดิสก์แล้ว Terminator จะโหลดไดรเวอร์นั้นเพื่อใช้สิทธิ์ระดับเคอร์เนล เพื่อให้สามารถหยุดการทำงานของ processes ที่เกี่ยวข้องกับซอฟต์แวร์ AV และ EDR ที่ทำงานบนอุปกรณ์ที่ได้รับผลกระทบ
เพื่อใช้งาน Terminator ต้องมีสิทธิ์ผู้ดูแลระบบในระบบปฏิบัติการ Windows เป้าหมาย และต้องหลอกให้เหยื่อให้ยอมรับข้อความ User Account Controls (UAC) ที่ปรากฏขึ้นเมื่อมีการเรียกใช้Tool
เทคนิคนี้คล้ายกับแคมเปญ BYOVD อื่น ๆ ที่พบเห็นก่อนหน้านี้
ปัจจุบันไดรเวอร์ที่มีช่องโหว่ที่ Terminator ใช้งานอยู่ ถูกระบุว่าเป็นอันตรายโดยToolสแกนมัลแวร์เพียงรายเดียว ตามผลสแกนของ VirusTotal
Ref: cyware
ไม่มีความคิดเห็น:
แสดงความคิดเห็น