11/07/2023

Threat Hunting Malware Terminator

Tags:ameaças, Malware, Segurança da Informação, SOC, Threat Hunting Malware Terminato

Na comunidade hacker ao redor do mundo, tem sido mencionado um notório agente de ameaças conhecido como Spyboy, que está promovendo uma poderosa ferramenta chamada “Terminator”. O autor promete que a ferramenta é capaz de desabilitar efetivamente, atualmente, até 23 soluções de EDR e Antivírus. Incluindo produtos CrowdStrike, AVG, Sophos, Avast, Kaspersky, McAfee, BitDefender, Windows Defender, dentre outros. O malware tem sido vendido de $300 até $3,000 dólares, dependendo do tipo de bypass de detecção pretendido.

Por dentro da ameaça

Para realizar a evasão de defesa, o software Terminator requer privilégios administrativos e permissões de Controle de conta de Usuário (UAC) para performar adequadamente. Assim que executado com o nível necessário de privilégio, o binário grava um arquivo de driver legítimo e assinado – Zemana Anti-Malware – conhecido pelos nomes de “zamguard64.sys” ou “zam64.sys”, na pasta C:\Windows\System32\.

A exploração de vulnerabilidades em drivers legítimos é uma técnica conhecida como BYOVD (Bring your own vulnerable driver), e é comum entre agentes de ameaças que buscam injeções de payloads maliciosos de forma “silenciosa”, com o objetivo de obter privilégios a nível de Kernel e utilizá-los ofensivamente.

Ações do SOC

Realizamos uma análise do malware em ambiente controlado e visualizamos as interações do Terminator com o sistema invadido. A CVE-2021-31728 descreve uma prova de conceito de execução de código a partir dos drivers vulneráveis.

Desenvolvemos dois casos de uso com o objetivo de identificar criação de processos com a assinatura “terminator.exe” e “terminator.sys”. Estamos monitorando os TTPs do malware e seus hashes conhecidos fornecidos e atualizados por bases de Threat Intelligence.

Threat Hunting Malware Terminator

O time de Threat Intelligence da iT.eam, utiliza a seguinte metodologia como base para as atividades de Threat Hunting:

Você também pode entrar em contato com nosso time para saber mais detalhes deste processo!
Basta entrar em contato com o e-mail soc@it-eam.com e solicitar uma agenda.

Descrição – Malware Terminato

• No submundo dos hackers, um notório agente de
ameaças conhecido como Spyboy está promovendo
uma poderosa ferramenta de hacking chamada
“Terminator” . Este programa é discutido em um influente
fórum hacker russo, despertando grande interesse e especulação.

• De acordo com o autor Spyboy, a notável ferramenta Terminator demonstra a impressionante capacidade de desabilitar com êxito vinte e três controles de EDR e antivírus. Essa lista abrange produtos líderes do setor, como Microsoft, Sophos, CrowdStrike, AVG, Avast, ESET, Kaspersky, Mcafee, BitDefender, Malwarebytes, Cortex e muitos outros. A disponibilidade do software está associada a dois pacotes distintos: um bypass único por US
$ 300 e um bypass completo por US$3.000. Esses preços refletem a natureza altamente especializada e potencialmente prejudicial dessa ferramenta no contexto do cibercrime.

Threat Hunting – Terminator Malware

Techniques – Malware Terminator

• O Malware Terminator utiliza-se da técnica BYOVD – Bring Your Own Vulnerable Driver (traga seu próprio driver vulnerável).

• Nos ataques Bring Your Own Vulnerable Driver (BYOVD), drivers legítimos assinados com certificados válidos e capazes de rodar com privilégios de kernel são instalados nos dispositivos das vítimas, então utilizando-se da exploração do driver o Terminator consegue desabilitar as soluções de segurança e assumir o controle do sistema.

Techniques – Malware Terminator

• O time do SOC iT-eam executou o malware um ambiente controlado para entender seu comportamento e busca-lo efetivamente no ambiente de monitoramento de nossos clientes.

• Colocamos à prova nossa hipótese e realizamos a pesquisa no ambiente de monitoramento. Até o momento, nenhuma evidência de detecção da ferramenta foi encontrada.