www.pcguia.ptpcguia.pt - 2 jun. 14:27

A ‘Terminator’ é uma ferramenta que usa um driver para ultrapassar praticamente todas as soluções de segurança

A ‘Terminator’ é uma ferramenta que usa um driver para ultrapassar praticamente todas as soluções de segurança

A 'Terminator' está à venda num fórum russo de hackers por um preço máximo de 3000 dólares.

A empresa de segurança informática CrowdStrike, revelou a existência de uma nova ameaça, denominada ‘Terminator’, que, aparentemente, é capaz de ultrapassar praticamente todos os programas antivírus e soluções de segurança Endpoint Detection and Response (EDR), ou Extended Detection and Response (XDR).

Desde 21 de Maio que a ferramenta ‘Terminator’ está a ser vendida num fórum de hackers russo por um utilizador com handle ‘Spyboy’. Segundo o vendedor, esta ferramenta é capaz de ultrapassar as medidas de protecção de, pelo menos, 23 soluções de segurança informática. A ‘Terminator’ custa entre 300 dólares para uma única utilização e 3000 dólares para utilização livre.

Esta ferramenta, utiliza um ataque denominado ‘Bring Your Own Vulnerable Driver’, (BYOVD), que permite a ultrapassagem das medidas de protecção implementadas pelas soluções de segurança para instalar malware nos sistemas. Nos últimos anos, este método tornou-se popular junto de quem leva a cabo ataques de ransomware e hackers ligados a entidades estatais. 

Segundo Andrew Harris, director global da CrowdStrike, a ferramenta ‘Terminator’ é uma variante de um ataque BYOVD em que os atacantes têm de obter privilégios de administração nos sistemas a atacar e levar o utilizador a permitir a execução da ferramenta, através da caixa de diálogo do User Account Control (UAC).

De seguida, a ‘Terminator’, instala um driver, supostamente ligado a um programa anitvírus, na pasta C:\Windows\System32\drivers\. O ficheiro em questão devia chamar-se ‘zam64.sys’ ou ‘zamguard64.sys’, mas a ‘Terminator’ dá-lhe um nome aleatório com um comprimento entre os quatro e os dez caracteres. Depois de terminada esta tarefa, a ferramenta fecha quaisquer processos criados pelas soluções de segurança instaladas no sistema e funciona em todos os dispositivos com Windows 7 ou posteriores.

O modo de funcionamento exacto do ‘Terminator’ ainda não é conhecido, mas pensa-se que trabalha da mesma forma que as vulnerabilidades com as referências CVE-2021-31727 e CVE-2021-31728, que permitem adquirir capacidades de leitura e escrita em suportes de armazenamento, bem como a possibilidade de executar comandos através de privilégios ao nível do kernel do sistema.

Embora o autor da ferramenta diga que a ‘Terminator’ consegue ultrapassar 23 soluções de segurança, uma análise feita pelo VirusTotal indica que o ficheiro do driver usado pela ferramenta não é detectado por 71 programas de segurança. Apenas o software Elastic indicou uma ameaça potencial. Andrew Harris diz que uma das maneiras de verificar se o driver é vulnerável é através da monitorização da gravação anormal de ficheiros na pasta C:\Windows\System32\drivers.

Em alternativa, podem ser usadas as regras YARA e Sigma, criadas pelos especialistas em segurança Florian Roth e Nasreddine Bencherchali, para identificar o driver vulnerável através do nome ou hash. Também pode mitigar o ataque, através do bloqueio do certificado do driver Zemana Anti-Malware.

NewsItem [
pubDate=2023-06-02 15:27:55.0
, url=https://www.pcguia.pt/2023/06/a-terminator-e-uma-ferramenta-que-usa-um-driver-para-ultrapassar-praticamente-todas-as-solucoes-de-seguranca/
, host=www.pcguia.pt
, wordCount=441
, contentCount=1
, socialActionCount=0
, slug=2023_06_02_940497228_a-terminator-e-uma-ferramenta-que-usa-um-driver-para-ultrapassar-praticamente-todas-as-solucoes-de-seguranca
, topics=[tecnologia, notícias, segurança, terminator, antivírus]
, sections=[sociedade, ciencia-tecnologia]
, score=0.000000]