Threat Hunting Malware Terminator

Threat Hunting Malware Terminator

Published on 07/11/2023

Written by iT.eam Tecnologia

Read in 4 minutes

Na comunidade hacker ao redor do mundo, tem sido mencionado um notório agente de ameaças conhecido como Spyboy, que está promovendo uma poderosa ferramenta chamada “Terminator”. O autor promete que a ferramenta é capaz de desabilitar efetivamente, atualmente, até 23 soluções de EDR e Antivírus. Incluindo produtos CrowdStrike, AVG, Sophos, Avast, Kaspersky, McAfee, BitDefender, Windows Defender, dentre outros. O malware tem sido vendido de $300 até $3,000 dólares, dependendo do tipo de bypass de detecção pretendido.

Por dentro da ameaça

Para realizar a evasão de defesa, o software Terminator requer privilégios administrativos e permissões de Controle de conta de Usuário (UAC) para performar adequadamente. Assim que executado com o nível necessário de privilégio, o binário grava um arquivo de driver legítimo e assinado – Zemana Anti-Malware – conhecido pelos nomes de “zamguard64.sys” ou “zam64.sys”, na pasta C:\Windows\System32\.

A exploração de vulnerabilidades em drivers legítimos é uma técnica conhecida como BYOVD (Bring your own vulnerable driver), e é comum entre agentes de ameaças que buscam injeções de payloads maliciosos de forma “silenciosa”, com o objetivo de obter privilégios a nível de Kernel e utilizá-los ofensivamente.

Ações do SOC

Realizamos uma análise do malware em ambiente controlado e visualizamos as interações do Terminator com o sistema invadido. A CVE-2021-31728 descreve uma prova de conceito de execução de código a partir dos drivers vulneráveis.

Desenvolvemos dois casos de uso com o objetivo de identificar criação de processos com a assinatura “terminator.exe” e “terminator.sys”. Estamos monitorando os TTPs do malware e seus hashes conhecidos fornecidos e atualizados por bases de Threat Intelligence.

Threat Hunting Malware Terminator

O time de Threat Intelligence da iT.eam, utiliza a seguinte metodologia como base para as atividades de Threat Hunting:

Você também pode entrar em contato com nosso time para saber mais detalhes deste processo!
Basta entrar em contato com o e-mail soc@it-eam.com e solicitar uma agenda.

Descrição – Malware Terminato

 

• No submundo dos hackers, um notório agente de
ameaças conhecido como Spyboy está promovendo
uma poderosa ferramenta de hacking chamada
“Terminator” . Este programa é discutido em um influente
fórum hacker russo, despertando grande interesse e especulação.

• De acordo com o autor Spyboy, a notável ferramenta Terminator demonstra a impressionante capacidade de desabilitar com êxito vinte e três controles de EDR e antivírus. Essa lista abrange produtos líderes do setor, como Microsoft, Sophos, CrowdStrike, AVG, Avast, ESET, Kaspersky, Mcafee, BitDefender, Malwarebytes, Cortex e muitos outros. A disponibilidade do software está associada a dois pacotes distintos: um bypass único por US
$ 300 e um bypass completo por US$3.000. Esses preços refletem a natureza altamente especializada e potencialmente prejudicial dessa ferramenta no contexto do cibercrime.

Threat Hunting – Terminator Malware

 

Techniques – Malware Terminator

 

• O Malware Terminator utiliza-se da técnica BYOVD – Bring Your Own Vulnerable Driver (traga seu próprio driver vulnerável).

• Nos ataques Bring Your Own Vulnerable Driver (BYOVD), drivers legítimos assinados com certificados válidos e capazes de rodar com privilégios de kernel são instalados nos dispositivos das vítimas, então utilizando-se da exploração do driver o Terminator consegue desabilitar as soluções de segurança e assumir o controle do sistema.

 

Techniques – Malware Terminator

• O time do SOC iT-eam executou o malware um ambiente controlado para entender seu comportamento e busca-lo efetivamente no ambiente de monitoramento de nossos clientes.

• Colocamos à prova nossa hipótese e realizamos a pesquisa no ambiente de monitoramento. Até o momento, nenhuma evidência de detecção da ferramenta foi encontrada.

 

Hunting – Dados e Referência

 

 

 

 

Related Content

Forense Post Mortem na Cibersegurança – Um dado vale mais que 1000 palavras

Read Article

A importância de executar pentests com equipe externa

Read Article

Malware SocGholish: Protegendo usuários de execuções maliciosas de JavaScript

Read Article

Sign up for our newsletter

Fill out the form to receive exclusive content directly to your e-mail that will help transform your business.

The iT.eam

Offices in Brazil

Belo Horizonte

Rua Sergipe, 1014 | 6º andar Savassi - Belo Horizonte / MG CEP: 30130-171

+55 (31) 4063-7340

Goiânia

Av. Fued José Sebba, 700 Jardim Goiás, Goiânia / GO CEP: 74805-100

Office in The Netherlands

WTC The Hague

Prinses Margrietplantsoen 33, 2595 AM Den Haag, The Netherlands

+31 6 83 52 27 74

+31 6 46 15 29 68


Data Protection Officer: | E-mail: | Phone: | Opening Hours: Monday to Friday from 09:00 to 18:00

iT.eam Copyright 2025 - All rights reserved.