Der Antiviren-Killer Terminator ist ein getarnter, anfälliger Windows-Treiber

Apr 10, 2023

Ein als Spyboy bekannter Bedrohungsakteur wirbt in einem russischsprachigen Hacking-Forum für ein Tool namens „Terminator“, das angeblich jede Antiviren-, XDR- und EDR-Plattform beenden kann. Allerdings sagt CrowdStrike, dass es sich nur um einen ausgefallenen BYOVD-Angriff (Bring Your Own Vulnerable Driver) handelt.

Terminator ist angeblich in der Lage, 24 verschiedene Antiviren- (AV), Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR)-Sicherheitslösungen, einschließlich Windows Defender, auf Geräten mit Windows 7 und höher zu umgehen.

Spyboy verkauft die Software zu Preisen zwischen 300 US-Dollar für einen einzelnen Bypass und 3.000 US-Dollar für einen All-in-One-Bypass.

„Die folgenden EDRs können nicht einzeln verkauft werden: SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, Cylance“, sagt der Bedrohungsakteur, mit dem Haftungsausschluss, dass „Ransomware und Locker nicht erlaubt sind und ich für solche Aktionen nicht verantwortlich bin.“

Um Terminator verwenden zu können, benötigen die „Clients“ Administratorrechte auf den Ziel-Windows-Systemen und müssen den Benutzer dazu verleiten, ein Popup-Fenster zur Benutzerkontensteuerung (User Account Controls, UAC) zu akzeptieren, das beim Ausführen des Tools angezeigt wird.

Wie jedoch ein CrowdStrike-Ingenieur in einem Reddit-Beitrag enthüllte, legt Terminator einfach den legitimen, signierten Zemana-Anti-Malware-Kernel-Treiber mit dem Namen zamguard64.sys oder zam64.sys im Ordner C:\Windows\System32\ mit einem zufälligen Namen zwischen 4 und ab 10 Zeichen.

Nachdem der bösartige Treiber auf die Festplatte geschrieben wurde, lädt Terminator ihn, um mithilfe seiner Berechtigungen auf Kernelebene die Benutzermodusprozesse der auf dem Gerät ausgeführten AV- und EDR-Software abzubrechen.

Obwohl nicht klar ist, wie das Terminator-Programm mit dem Treiber interagiert, wurde 2021 ein PoC-Exploit veröffentlicht, der Fehler im Treiber ausnutzt, um Befehle mit Windows-Kernel-Berechtigungen auszuführen, die zum Beenden normal geschützter Sicherheitssoftwareprozesse verwendet werden könnten.

Laut einem VirusTotal-Scan wird dieser Treiber derzeit nur von einer einzigen Anti-Malware-Scan-Engine als anfälliger Treiber erkannt.

Glücklicherweise haben der Forschungsleiter von Nextron Systems, Florian Roth, und die Bedrohungsforscherin Nasreddine Bencherchali bereits YARA- und Sigma-Regeln (nach Hash und Namen) geteilt, die Verteidigern dabei helfen können, den anfälligen Treiber zu erkennen, der vom Terminator-Tool verwendet wird.

Diese Technik ist bei Bedrohungsakteuren weit verbreitet, die anfällige Windows-Treiber installieren möchten, nachdem sie ihre Berechtigungen ausgeweitet haben, um auf den gefährdeten Computern ausgeführte Sicherheitssoftware zu umgehen, bösartigen Code auszuführen und zusätzliche bösartige Payloads bereitzustellen.

Bei sogenannten Bring Your Own Vulnerable Driver (BYOVD)-Angriffen werden legitime Treiber, die mit gültigen Zertifikaten signiert sind und mit Kernel-Berechtigungen ausgeführt werden können, auf den Geräten der Opfer abgelegt, um Sicherheitslösungen zu deaktivieren und das System zu übernehmen.

Eine breite Palette von Bedrohungsgruppen nutzt diese Technik seit Jahren, von finanziell motivierten Ransomware-Banden bis hin zu staatlich unterstützten Hacker-Gruppen.

Kürzlich haben Sicherheitsforscher von Sophos

Microsoft gibt einen Fix für Kameras bekannt, die auf Surface-Laptops nicht funktionieren

Microsoft Defender Antivirus erhält den „Leistungsmodus“ für Dev Drives

Schädliche Windows-Kernel-Treiber, die bei BlackCat-Ransomware-Angriffen verwendet werden

Erkennen von Datendiebstahl mit Wazuh, dem Open-Source-XDR

Erhalten Sie 50 % Rabatt auf Malwarebytes Premium + Privacy in diesem zeitlich begrenzten Angebot