Gawat! Terminator, Alat Penjebol Antivirus dan Ransomware Dijual Bebas
Kamis, 01 Juni 2023 - 19:23 WIB
Meskipun tidak jelas bagaimana program Terminator berinteraksi dengan driver, eksploitasi POC dirilis pada tahun 2021 yang mengeksploitasi kelemahan pada driver untuk menjalankan perintah dengan hak istimewa kernel Windows, yang dapat digunakan untuk mengakhiri proses perangkat lunak keamanan yang biasanya dilindungi.
Kepala Penelitian Sistem Nextron Florian Roth dan peneliti ancaman, Nasreddine Benychali mengatakan, Yara dan Sigma (dengan hash dan nama) dapat membantu mendeteksi alat Terminator.
Teknik ini lazim di antara para aktor ancaman yang suka menginstal driver Windows yang rentan setelah meningkatkan hak istimewa untuk memotong perangkat lunak keamanan yang berjalan pada mesin yang dikompromikan, menjalankan kode berbahaya, dan memberikan muatan berbahaya tambahan.
"Dalam membawa serangan Rentan Anda sendiri (BYOVD), pengemudi sah yang ditandatangani dengan sertifikat yang valid dan mampu menjalankan dengan hak istimewa kernel dijatuhkan pada perangkat korban untuk menonaktifkan solusi keamanan dan mengambil alih sistem," sambungnya.
Berbagai macam kelompok ancaman telah menggunakan teknik ini selama bertahun-tahun, mulai dari geng ransomware yang termotivasi secara finansial, hingga pakaian peretasan yang didukung negara.
Baru-baru ini, peneliti keamanan Sophos X-Ops telah melihat alat peretasan baru yang dijuluki Aukill yang digunakan di alam liar untuk menonaktifkan perangkat lunak EDR dengan bantuan driver proses penjelajah yang rentan sebelum menggunakan ransomware dalam serangan BYOVD.
Kepala Penelitian Sistem Nextron Florian Roth dan peneliti ancaman, Nasreddine Benychali mengatakan, Yara dan Sigma (dengan hash dan nama) dapat membantu mendeteksi alat Terminator.
Teknik ini lazim di antara para aktor ancaman yang suka menginstal driver Windows yang rentan setelah meningkatkan hak istimewa untuk memotong perangkat lunak keamanan yang berjalan pada mesin yang dikompromikan, menjalankan kode berbahaya, dan memberikan muatan berbahaya tambahan.
"Dalam membawa serangan Rentan Anda sendiri (BYOVD), pengemudi sah yang ditandatangani dengan sertifikat yang valid dan mampu menjalankan dengan hak istimewa kernel dijatuhkan pada perangkat korban untuk menonaktifkan solusi keamanan dan mengambil alih sistem," sambungnya.
Berbagai macam kelompok ancaman telah menggunakan teknik ini selama bertahun-tahun, mulai dari geng ransomware yang termotivasi secara finansial, hingga pakaian peretasan yang didukung negara.
Baru-baru ini, peneliti keamanan Sophos X-Ops telah melihat alat peretasan baru yang dijuluki Aukill yang digunakan di alam liar untuk menonaktifkan perangkat lunak EDR dengan bantuan driver proses penjelajah yang rentan sebelum menggunakan ransomware dalam serangan BYOVD.
(san)
Lihat Juga :
tulis komentar anda