Pourquoi est-ce important: Les attaques « Apportez votre propre pilote vulnérable » utilisent des pilotes légitimes qui permettent aux pirates de désactiver facilement les solutions de sécurité sur les systèmes cibles et d’y déposer des logiciels malveillants supplémentaires. C’est devenu une technique populaire parmi les opérateurs de rançongiciels et les pirates informatiques soutenus par l’État ces dernières années, et il semble que des acteurs malveillants aient trouvé un moyen de le faire fonctionner sur à peu près n’importe quel PC exécutant Windows.
Un ingénieur CrowdStrike a révélé une nouvelle menace de cybersécurité appelée « Terminator », qui est censée tuer presque toutes les solutions de sécurité antivirus, Endpoint Detection and Response (EDR) et Extended Detection and Response (XDR).
« Terminator » est vendu sur un forum de piratage russe appelé Ramp par un acteur malveillant connu sous le nom de Spyboy, qui a commencé à faire la publicité de l’outil d’évasion des terminaux le 21 mai. L’auteur affirme que l’outil est capable de contourner les mesures de protection de pas moins de 23 sécurité solutions, avec des prix allant de 300 $ pour un contournement unique à 3 000 $ pour un contournement tout-en-un.
Windows Defender est l’un des antivirus qui peut être contourné et l’outil fonctionne sur tous les appareils exécutant Windows 7 et les versions ultérieures. Selon la plupart des estimations, Windows Vista et Windows XP s’exécutent désormais sur moins de 1 % de tous les PC, ce qui signifie que Terminator a un impact sur presque tous les utilisateurs de Windows, même ceux qui n’utilisent pas de solution de sécurité tierce d’entreprises telles que BitDefender, Avast, ou Malwarebytes.
Andrew Harris, directeur principal mondial chez CroudStrike, explique que Terminator est essentiellement une nouvelle variante de l’attaque de plus en plus populaire Bring Your Own Vulnerable Driver (BYOVD). Pour l’utiliser, les « clients » doivent d’abord obtenir des privilèges administratifs sur les systèmes cibles et inciter l’utilisateur à autoriser l’outil à s’exécuter via la fenêtre contextuelle de contrôle de compte d’utilisateur (UAC).
Terminator déposera alors un pilote de noyau anti-malware Zemana légitime et signé dans le dossier C:\Windows\System32\drivers\. Normalement, le fichier en question s’appellerait « zam64.sys » ou « zamguard64.sys », mais Terminator lui donnera un nom aléatoire entre quatre et dix caractères. Une fois ce processus terminé, l’outil mettra simplement fin à tous les processus en mode utilisateur créés par un logiciel antivirus ou EDR.
Le mécanisme exact derrière Terminator n’est pas connu, mais une bonne supposition est qu’il fonctionne de la même manière qu’un exploit de preuve de concept suivi sous CVE-2021-31727 et CVE-2021-31728 qui permettent d’exposer des capacités de lecture/écriture de disque illimitées. et exécuter des commandes en utilisant des privilèges au niveau du noyau.
Alors que l’auteur de l’outil prétend qu’il ne trompera que 23 solutions de sécurité, un VirusTotal l’analyse montre que le fichier de pilote utilisé par Terminator n’est pas détecté par 71 AV et EDR. Seul Elastic a signalé le fichier comme potentiellement malveillant, mais Harris affirme qu’il existe des moyens de vérifier si le pilote est légitime en surveillant les écritures de fichiers inhabituelles dans C:\Windows\System32\drivers.
Alternativement, vous pouvez utiliser YARA et Sigma règles créées par des chercheurs sur les menaces comme Florian Roth et Nasreddine Bencherchali pour identifier rapidement le conducteur vulnérable par hachage ou nom. Vous pouvez également atténuer l’attaque en bloquant simplement le certificat de signature du pilote Zemana Anti-Malware.
Crédit d’en-tête : VOL 😀
