CrowdStrike détaille Spyboy Terminator censé tuer Microsoft Defender, Avast et d’autres EDR

Andrew Harris, qui est le directeur principal mondial de CrowdStrike, a partagé des détails sur « Terminator », un outil de détection et de réponse aux points de terminaison (EDR) qui est promu par un acteur malveillant nommé « Spyboy », sur le marché anonyme russe ( RAMPE). La campagne a apparemment commencé le mois dernier, vers le 21 mai.

L’auteur Spyboy affirme que cet outil Terminator est capable de désactiver avec succès vingt-trois contrôles EDR et antivirus. Ceux-ci incluent des produits de Microsoft, Sophos, CrowdStrike, AVG, Avast, ESET, Kaspersky, Mcafee, BitDefender, Malwarebytes, etc. Le logiciel est vendu entre 300 $ US (contournement simple) et 3 000 $ US (contournement tout-en-un).

CrowdStrike note que l’outil d’évasion Terminator EDR génère un fichier de pilote légitime et signé Zemana Anti-Malware, qui est utilisé pour potentiellement exploiter une vulnérabilité de sécurité suivie sous l’ID « CVE-2021-31728 » . Cependant, il nécessite des privilèges élevés et l’acceptation du contrôle de compte d’utilisateur (UAC). Seul Elastic détecte le fichier comme malveillant alors que le fichier n’est pas détecté par 70 autres fournisseurs selon VirusTotal .

Harris dit que l’outil fonctionne d’une manière similaire à la façon dont Bring Your Own Vulnerable Driver (BYOVD) désactive les composants de sécurité présents sur le système :

Au moment de la rédaction, le logiciel Terminator nécessite des privilèges administratifs et l’acceptation des contrôles de compte d’utilisateur (UAC) pour fonctionner correctement. Une fois exécuté avec le niveau de privilège approprié, le binaire écrira un fichier de pilote légitime et signé — Zemana Anti-Malware — dans le dossier C:\Windows\System32\drivers\ . Le fichier du pilote reçoit un nom aléatoire entre 4 et 10 caractères.

Cette technique est similaire à d’autres campagnes Bring Your Own Driver (BYOD) observées par les acteurs de la menace au cours des dernières années.

Dans des circonstances normales, le pilote serait nommé zamguard64.sys ou zam64.sys . Le chauffeur est signé par « Zemana Ltd. » et a l’empreinte digitale suivante : 96A7749D856CB49DE32005BCDD8621F38E2B4C05 .

Une fois écrit sur le disque, le logiciel charge le pilote et a été observé en train de mettre fin aux processus en mode utilisateur des logiciels AV et EDR.

Dans une démo, l’acteur menaçant a montré que CrowdStike Falcon EDR avait été désactivé avec succès à l’aide de Terminator. L’image de gauche (ci-dessous) montre que Falcon est toujours en cours d’exécution tandis que l’image de droite montre que le processus Falcon est terminé.

Vous pouvez trouver plus de détails techniques sur le tueur Terminator EDR de Spyboy sur le post d’Andrew Harris sur Reddit (via Soufiane sur Twitter ).