Na comunidade hacker ao redor do mundo, tem sido mencionado um notório agente de ameaças conhecido como Spyboy, que está promovendo uma poderosa ferramenta chamada “Terminator”. O autor promete que a ferramenta é capaz de desabilitar efetivamente, atualmente, até 23 soluções de EDR e Antivírus. Incluindo produtos CrowdStrike, AVG, Sophos, Avast, Kaspersky, McAfee, BitDefender, Windows Defender, dentre outros. O malware tem sido vendido de $300 até $3,000 dólares, dependendo do tipo de bypass de detecção pretendido.

Por dentro da ameaça

Para realizar a evasão de defesa, o software Terminator requer privilégios administrativos e permissões de Controle de conta de Usuário (UAC) para performar adequadamente. Assim que executado com o nível necessário de privilégio, o binário grava um arquivo de driver legítimo e assinado – Zemana Anti-Malware – conhecido pelos nomes de “zamguard64.sys” ou “zam64.sys”, na pasta C:\Windows\System32\.

A exploração de vulnerabilidades em drivers legítimos é uma técnica conhecida como BYOVD (Bring your own vulnerable driver), e é comum entre agentes de ameaças que buscam injeções de payloads maliciosos de forma “silenciosa”, com o objetivo de obter privilégios a nível de Kernel e utilizá-los ofensivamente.

Ações do SOC

Realizamos uma análise do malware em ambiente controlado e visualizamos as interações do Terminator com o sistema invadido. A CVE-2021-31728 descreve uma prova de conceito de execução de código a partir dos drivers vulneráveis.

Desenvolvemos dois casos de uso com o objetivo de identificar criação de processos com a assinatura “terminator.exe” e “terminator.sys”. Estamos monitorando os TTPs do malware e seus hashes conhecidos fornecidos e atualizados por bases de Threat Intelligence.

Threat Hunting Malware Terminator

O time de Threat Intelligence da iT.eam, utiliza a seguinte metodologia como base para as atividades de Threat Hunting:

Você também pode entrar em contato com nosso time para saber mais detalhes deste processo!
Basta entrar em contato com o e-mail soc@it-eam.com e solicitar uma agenda.

Descrição – Malware Terminato

 

• No submundo dos hackers, um notório agente de
ameaças conhecido como Spyboy está promovendo
uma poderosa ferramenta de hacking chamada
“Terminator” . Este programa é discutido em um influente
fórum hacker russo, despertando grande interesse e especulação.

• De acordo com o autor Spyboy, a notável ferramenta Terminator demonstra a impressionante capacidade de desabilitar com êxito vinte e três controles de EDR e antivírus. Essa lista abrange produtos líderes do setor, como Microsoft, Sophos, CrowdStrike, AVG, Avast, ESET, Kaspersky, Mcafee, BitDefender, Malwarebytes, Cortex e muitos outros. A disponibilidade do software está associada a dois pacotes distintos: um bypass único por US
$ 300 e um bypass completo por US$3.000. Esses preços refletem a natureza altamente especializada e potencialmente prejudicial dessa ferramenta no contexto do cibercrime.

Threat Hunting – Terminator Malware

 

Techniques – Malware Terminator

 

• O Malware Terminator utiliza-se da técnica BYOVD – Bring Your Own Vulnerable Driver (traga seu próprio driver vulnerável).

• Nos ataques Bring Your Own Vulnerable Driver (BYOVD), drivers legítimos assinados com certificados válidos e capazes de rodar com privilégios de kernel são instalados nos dispositivos das vítimas, então utilizando-se da exploração do driver o Terminator consegue desabilitar as soluções de segurança e assumir o controle do sistema.

 

Techniques – Malware Terminator

• O time do SOC iT-eam executou o malware um ambiente controlado para entender seu comportamento e busca-lo efetivamente no ambiente de monitoramento de nossos clientes.

• Colocamos à prova nossa hipótese e realizamos a pesquisa no ambiente de monitoramento. Até o momento, nenhuma evidência de detecção da ferramenta foi encontrada.

 

Hunting – Dados e Referência