CrowdStrike-Details: Spyboy Terminator soll Microsoft Defender, Avast und weitere EDRs töten

Andrew Harris, Global Senior Director bei CrowdStrike, hat Details über „Terminator“ mitgeteilt, ein Endpoint Detection and Response (EDR)-Tötungstool, das von einem Bedrohungsakteur namens „Spyboy“ auf dem russischen Anonymous Marketplace beworben wird ( RAMPE). Die Kampagne begann offenbar letzten Monat, etwa am 21. Mai.

Der Autor Spyboy behauptet, dass dieses Terminator-Tool in der Lage ist, 23 EDR- und Antiviren-Kontrollen erfolgreich zu deaktivieren. Dazu gehören Produkte von Microsoft, Sophos, CrowdStrike, AVG, Avast, ESET, Kaspersky, Mcafee, BitDefender, Malwarebytes und mehr. Die Software wird für 300 US-Dollar (Einzel-Bypass) bis 3.000 US-Dollar (All-in-One-Bypass) verkauft.

CrowdStrike weist darauf hin, dass das Terminator EDR-Umgehungstool eine legitime, signierte Treiberdatei von Zemana Anti-Malware generiert, die möglicherweise dazu verwendet wird, eine Sicherheitslücke auszunutzen, die unter der ID „ CVE-2021-31728 “ verfolgt wird. Es sind jedoch erhöhte Berechtigungen und die Akzeptanz der Benutzerkontensteuerung (UAC) erforderlich. Nur Elastic erkennt die Datei als bösartig, während die Datei laut VirusTotal von 70 anderen Anbietern nicht erkannt wird .

Harris sagt, dass das Tool auf ähnliche Weise funktioniert, wie Bring Your Own Vulnerable Driver (BYOVD) auf dem System vorhandene Sicherheitskomponenten deaktiviert:

Zum Zeitpunkt des Verfassens dieses Artikels erfordert die Terminator-Software Administratorrechte und die Zustimmung zur Benutzerkontensteuerung (UAC), um ordnungsgemäß zu funktionieren. Sobald die Binärdatei mit der richtigen Berechtigungsstufe ausgeführt wird, schreibt sie eine legitime, signierte Treiberdatei – Zemana Anti-Malware – in den Ordner C:\Windows\System32\drivers \. Der Treiberdatei wird ein zufälliger Name zwischen 4 und 10 Zeichen gegeben.

Diese Technik ähnelt anderen BYOD-Kampagnen (Bring Your Own Driver), die in den letzten Jahren von Bedrohungsakteuren eingesetzt wurden.

Unter normalen Umständen würde der Treiber zamguard64.sys oder zam64.sys heißen . Der Fahrer ist von „Zemana Ltd.“ signiert. und hat den folgenden Fingerabdruck: 96A7749D856CB49DE32005BCDD8621F38E2B4C05 .

Nach dem Schreiben auf die Festplatte lädt die Software den Treiber und es wurde beobachtet, dass die Benutzermodusprozesse der AV- und EDR-Software beendet werden.

In einer Demo zeigte der Bedrohungsakteur, dass CrowdStike Falcon EDR mit Hilfe von Terminator erfolgreich deaktiviert wurde. Das Bild links (unten) zeigt, dass Falcon noch läuft, während das rechte Bild zeigt, dass der Falcon-Prozess beendet wurde.

Weitere technische Details zu Spyboys Terminator-EDR-Killer finden Sie möglicherweise in Andrew Harris‘ Beitrag auf Reddit (über Soufiane auf Twitter ).