Napadi preko drivera koriste legitimne upravljačke programe koji hakerima omogućuju jednostavno onemogućavanje sigurnosnih rješenja na ciljanim sustavima i ispuštanje dodatnog zlonamjernog softvera na njih. Ovo je posljednjih godina postala popularna tehnika među operaterima ransomwarea i hakerima koje podupire država, a čini se da su zlonamjerni akteri pronašli način da je natjeraju da radi na gotovo svim računalima sa sustavom Windows.
Inženjer CrowdStrikea otkrio je novu prijetnju kibernetičkoj sigurnosti nazvanu “Terminator”, koja je navodno sposobna ubiti gotovo svaki antivirus, sigurnosno rješenje Endpoint Detection and Response (EDR) i Extended Detection and Response (XDR).
“Terminator” se prodaje na ruskom hakerskom forumu pod nazivom Ramp od strane zlonamjernog hakera poznatog kao Spyboy, koji je 21. svibnja počeo reklamirati alat za izbjegavanje takozvanih endpointa. Autor tvrdi da je alat sposoban zaobići više od 23 zaštitne mjere. Cijena mu je u rasponu od 300 do 3000 američkih dolara, a s obzirom kakve sve mogućnosti hakerima ovaj alat otvara i nije toliko puno.
Windows Defender jedan je od AV-ova koji se mogu zaobići, a alat radi na svim uređajima sa sustavom Windows 7 i novijim verzijama. Prema većini procjena , Windows Vista i Windows XP sada rade na manje od 1 posto svih osobnih računala, što znači da Terminator utječe na gotovo sve korisnike Windowsa – čak i one koji koriste sigurnosna rješenja trećih strana tvrtki poput BitDefendera, Avasta, ili Malwarebytesa.
Andrew Harris, koji je globalni direktor u CroudStrikeu, objašnjava da je Terminator u biti nova varijanta sve popularnijeg napada Bring Your Own Vulnerable Driver (BYOVD). Da bi ga koristili, “klijenti” prvo moraju steći administrativne ovlasti na ciljnim sustavima i prevariti korisnika da dopusti pokretanje alata putem skočnog prozora za kontrolu korisničkog računa (UAC).
Terminator će zatim ispustiti legitiman, potpisan driver sa zlonamjernim kodom u mapu C:\Windows\System32\drivers\. Obično bi se dotična datoteka zvala “zam64.sys” ili “zamguard64.sys”, ali Terminator će joj dati nasumično ime između četiri i deset znakova. Kada se ovaj proces završi, alat će jednostavno prekinuti sve procese korisničkog načina rada koje je stvorio antivirusni ili EDR softver.
Dok autor alata tvrdi da će prevariti “samo” 23 sigurnosna rješenja, analiza VirusTotal pokazuje da datoteku upravljačkog programa koju koristi Terminator ne otkriva 71 AV i EDR. Samo je Elastic označio datoteku kao potencijalno zlonamjernu, ali Harris kaže da postoje načini da se provjeri je li upravljački program legitiman praćenjem neuobičajenih zapisa datoteka u C:\Windows\System32\drivers.
