CrowdStrike informiert über Spyboy Terminator, der Microsoft Defender, Avast und weitere EDRs ausschalten kann

Andrew Harris, Global Senior Director bei CrowdStrike, hat auf dem Russian Anonymous Marketplace (RAMP) Details über "Terminator" veröffentlicht, ein Tool zur Ausschaltung von Endpoint Detection and Response (EDR), das von einem Bedrohungsakteur namens "Spyboy" beworben wird. Die Kampagne begann anscheinend letzten Monat, um den 21. Mai.

Der Autor Spyboy behauptet, dass dieses Terminator-Tool in der Lage ist, dreiundzwanzig EDR- und Antiviren-Kontrollen erfolgreich zu deaktivieren. Dazu gehören Produkte von Microsoft, Sophos, CrowdStrike, AVG, Avast, ESET, Kaspersky, Mcafee, BitDefender, Malwarebytes und anderen. Die Software wird zu Preisen von 300 US-Dollar (Einzelumgehung) bis 3.000 US-Dollar (Komplettumgehung) angeboten.

CrowdStrike stellt fest, dass das Terminator EDR-Umgehungstool eine legitime, signierte Treiberdatei Zemana Anti-Malware generiert, die verwendet wird, um eine Sicherheitslücke auszunutzen, die unter der ID "CVE-2021-31728" geführt wird. Sie erfordert jedoch erhöhte Berechtigungen und die Zustimmung der Benutzerkontensteuerung (UAC). Nur Elastic erkennt die Datei als bösartig, während die Datei laut VirusTotal von 70 anderen Anbietern nicht erkannt wird.

Harris zufolge funktioniert das Tool ähnlich wie Bring Your Own Vulnerable Driver (BYOVD), das auf dem System vorhandene Sicherheitskomponenten deaktiviert:

  • Die Terminator-Software erfordert Administratorrechte und die Zustimmung zur Benutzerkontensteuerung (UAC), um ordnungsgemäß zu funktionieren. Sobald die Binärdatei mit der entsprechenden Berechtigungsstufe ausgeführt wird, schreibt sie eine legitime, signierte Treiberdatei - Zemana Anti-Malware - in den Ordner C:\Windows\System32\drivers\. Die Treiberdatei erhält einen zufälligen Namen zwischen 4 und 10 Zeichen.
  • Diese Technik ähnelt anderen Bring Your Own Driver (BYOD)-Kampagnen, die in den letzten Jahren von Bedrohungsakteuren durchgeführt wurden.
  • Unter normalen Umständen würde der Treiber den Namen zamguard64.sys oder zam64.sys tragen. Der Treiber ist von "Zemana Ltd." signiert und hat den folgenden Thumbprint: 96A7749D856CB49DE32005BCDD8621F38E2B4C05.
  • Sobald die Software auf die Festplatte geschrieben wurde, lädt sie den Treiber und wurde dabei beobachtet, wie sie die Benutzermodusprozesse von AV- und EDR-Software beendete.

In einer Demo zeigte der Bedrohungsakteur, dass CrowdStike Falcon EDR mit Hilfe von Terminator erfolgreich deaktiviert wurde.

Weitere technische Details zu Spyboys Terminator EDR-Killer finden Sie in Andrew Harris' Beitrag auf Reddit (über Soufiane auf Twitter).