A empresa de segurança informática CrowdStrike, revelou a existência de uma nova ameaça, denominada ‘Terminator’, que, aparentemente, é capaz de ultrapassar praticamente todos os programas antivírus e soluções de segurança Endpoint Detection and Response (EDR), ou Extended Detection and Response (XDR).
Desde 21 de Maio que a ferramenta ‘Terminator’ está a ser vendida num fórum de hackers russo por um utilizador com handle ‘Spyboy’. Segundo o vendedor, esta ferramenta é capaz de ultrapassar as medidas de protecção de, pelo menos, 23 soluções de segurança informática. A ‘Terminator’ custa entre 300 dólares para uma única utilização e 3000 dólares para utilização livre.
Esta ferramenta, utiliza um ataque denominado ‘Bring Your Own Vulnerable Driver’, (BYOVD), que permite a ultrapassagem das medidas de protecção implementadas pelas soluções de segurança para instalar malware nos sistemas. Nos últimos anos, este método tornou-se popular junto de quem leva a cabo ataques de ransomware e hackers ligados a entidades estatais.
Segundo Andrew Harris, director global da CrowdStrike, a ferramenta ‘Terminator’ é uma variante de um ataque BYOVD em que os atacantes têm de obter privilégios de administração nos sistemas a atacar e levar o utilizador a permitir a execução da ferramenta, através da caixa de diálogo do User Account Control (UAC).
De seguida, a ‘Terminator’, instala um driver, supostamente ligado a um programa anitvírus, na pasta C:\Windows\System32\drivers\. O ficheiro em questão devia chamar-se ‘zam64.sys’ ou ‘zamguard64.sys’, mas a ‘Terminator’ dá-lhe um nome aleatório com um comprimento entre os quatro e os dez caracteres. Depois de terminada esta tarefa, a ferramenta fecha quaisquer processos criados pelas soluções de segurança instaladas no sistema e funciona em todos os dispositivos com Windows 7 ou posteriores.
O modo de funcionamento exacto do ‘Terminator’ ainda não é conhecido, mas pensa-se que trabalha da mesma forma que as vulnerabilidades com as referências CVE-2021-31727 e CVE-2021-31728, que permitem adquirir capacidades de leitura e escrita em suportes de armazenamento, bem como a possibilidade de executar comandos através de privilégios ao nível do kernel do sistema.
Embora o autor da ferramenta diga que a ‘Terminator’ consegue ultrapassar 23 soluções de segurança, uma análise feita pelo VirusTotal indica que o ficheiro do driver usado pela ferramenta não é detectado por 71 programas de segurança. Apenas o software Elastic indicou uma ameaça potencial. Andrew Harris diz que uma das maneiras de verificar se o driver é vulnerável é através da monitorização da gravação anormal de ficheiros na pasta C:\Windows\System32\drivers.
Em alternativa, podem ser usadas as regras YARA e Sigma, criadas pelos especialistas em segurança Florian Roth e Nasreddine Bencherchali, para identificar o driver vulnerável através do nome ou hash. Também pode mitigar o ataque, através do bloqueio do certificado do driver Zemana Anti-Malware.
