PCGuiaPCGuia
  • [email protected]
  • Dicas
    • Apps
    • Descomplicómetro
    • Download da semana
    • Guia completo
    • Linux
    • Modding
    • Photoshop
    • Teste de velocidade da Internet
  • MacGuia
  • Jogos
  • Notícias
    • Ambiente
    • Apps
    • Ciência
    • Curiosidades
    • Hardware
    • Inteligência Artificial
    • Internet
    • Mercados
    • Mobilidade
    • Multimédia
    • Robots
    • Segurança
    • Software
    • Startup
    • Especiais
      • Especial PCGuia
      • História
  • Reviews
    • Armazenamento
    • Áudio
    • Componentes
    • Desktops
    • Gadgets
    • Imagem
    • Mobilidade
    • Periféricos
    • Robótica
  • Opinião
    • Conceito Humanoide
    • Há Uma App Para Tudo
    • O Que Vem à Rede
    • Praia das Maçãs
    • Quinta Coluna
  • Precisa de ajuda?
  • Contactos
  • Como testamos os produtos
  • Termos de utilização
  • Política de privacidade e cookies
  • Estatuto Editorial
© 2023 - Fidemo Sociedade de Media
A ler: A ‘Terminator’ é uma ferramenta que usa um driver para ultrapassar praticamente todas as soluções de segurança
Partilhar
Aa
PCGuia PCGuia
Aa
Procurar
  • Dicas
  • Jogos
  • Linux
  • Notícias
  • Opinião
  • Reviews
Siga-nos
© 2023 Fidemo Sociedade de Média
PCGuia > Notícias > Segurança > A ‘Terminator’ é uma ferramenta que usa um driver para ultrapassar praticamente todas as soluções de segurança
NotíciasSegurança

A ‘Terminator’ é uma ferramenta que usa um driver para ultrapassar praticamente todas as soluções de segurança

A 'Terminator' está à venda num fórum russo de hackers por um preço máximo de 3000 dólares.

Por: Publicado em 2 de Junho, 2023
Tempo de leitura: 3 min
Virus
Imagem - Deposit Photos

A empresa de segurança informática CrowdStrike, revelou a existência de uma nova ameaça, denominada ‘Terminator’, que, aparentemente, é capaz de ultrapassar praticamente todos os programas antivírus e soluções de segurança Endpoint Detection and Response (EDR), ou Extended Detection and Response (XDR).

Desde 21 de Maio que a ferramenta ‘Terminator’ está a ser vendida num fórum de hackers russo por um utilizador com handle ‘Spyboy’. Segundo o vendedor, esta ferramenta é capaz de ultrapassar as medidas de protecção de, pelo menos, 23 soluções de segurança informática. A ‘Terminator’ custa entre 300 dólares para uma única utilização e 3000 dólares para utilização livre.

- Publicidade -

Esta ferramenta, utiliza um ataque denominado ‘Bring Your Own Vulnerable Driver’, (BYOVD), que permite a ultrapassagem das medidas de protecção implementadas pelas soluções de segurança para instalar malware nos sistemas. Nos últimos anos, este método tornou-se popular junto de quem leva a cabo ataques de ransomware e hackers ligados a entidades estatais. 

Segundo Andrew Harris, director global da CrowdStrike, a ferramenta ‘Terminator’ é uma variante de um ataque BYOVD em que os atacantes têm de obter privilégios de administração nos sistemas a atacar e levar o utilizador a permitir a execução da ferramenta, através da caixa de diálogo do User Account Control (UAC).

Outros artigos

QNAP Atualiza o Antivírus McAfee para NAS

Como proteger o seu PC com o Microsoft Defender

De seguida, a ‘Terminator’, instala um driver, supostamente ligado a um programa anitvírus, na pasta C:\Windows\System32\drivers\. O ficheiro em questão devia chamar-se ‘zam64.sys’ ou ‘zamguard64.sys’, mas a ‘Terminator’ dá-lhe um nome aleatório com um comprimento entre os quatro e os dez caracteres. Depois de terminada esta tarefa, a ferramenta fecha quaisquer processos criados pelas soluções de segurança instaladas no sistema e funciona em todos os dispositivos com Windows 7 ou posteriores.

O modo de funcionamento exacto do ‘Terminator’ ainda não é conhecido, mas pensa-se que trabalha da mesma forma que as vulnerabilidades com as referências CVE-2021-31727 e CVE-2021-31728, que permitem adquirir capacidades de leitura e escrita em suportes de armazenamento, bem como a possibilidade de executar comandos através de privilégios ao nível do kernel do sistema.

Embora o autor da ferramenta diga que a ‘Terminator’ consegue ultrapassar 23 soluções de segurança, uma análise feita pelo VirusTotal indica que o ficheiro do driver usado pela ferramenta não é detectado por 71 programas de segurança. Apenas o software Elastic indicou uma ameaça potencial. Andrew Harris diz que uma das maneiras de verificar se o driver é vulnerável é através da monitorização da gravação anormal de ficheiros na pasta C:\Windows\System32\drivers.

- Publicidade -

Em alternativa, podem ser usadas as regras YARA e Sigma, criadas pelos especialistas em segurança Florian Roth e Nasreddine Bencherchali, para identificar o driver vulnerável através do nome ou hash. Também pode mitigar o ataque, através do bloqueio do certificado do driver Zemana Anti-Malware.

- Publicidade -
Etiquetas: antivírus, Terminator
Partilhar
Deixar um comentário

Deixe um comentário Cancelar resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Publicidade
Ad image
Ad image
Apoio
Ad image Ad image
© 2023 Fidemo Sociedade de Media