Gawat! Terminator, Alat Penjebol Antivirus dan Ransomware Dijual Bebas

JAKARTA - Peretas bernama Spyboy mengenalkan alat bernama Terminator, di forum peretasan berbahasa Rusia. Alat ini bisa menembus semua platform antivirus, seperti XDR, dan EDR.

Dilansir dari Bleeping Computer, Terminator diduga mampu melewati 24 antivirus berbeda (AV), deteksi dan respons titik akhir (EDR), dan solusi keamanan deteksi dan respons (XDR) yang diperluas, termasuk Windows Bek, pada Windows 7.

"Spyboy menjual perangkat lunak dengan harga mulai dari USD300 untuk bypass tunggal hingga USD3.000 untuk bypass all-in-one," kata laman itu, dikutip Kamis (1/6/2023).



Meski demikia, EDR berikut tidak dapat dijual sendiri oleh Sentinelone, Sophos, Crowdstrike, Carbon Black, Cortex, Cylance. Dia juga mengatakan, alat ini tidak dijual untuk kepentingan ransomware dan loker.

"Untuk menggunakan Terminator, klien memerlukan hak administratif pada sistem Windows yang ditargetkan dan harus menipu pengguna agar menerima pop-up Kontrol Akun Pengguna (UAC) yang akan ditampilkan," jelasnya.

Namun, seperti yang diungkapkan oleh insinyur crowdstrike dalam pos reddit, Terminator hanya menjatuhkan driver kernel anti-malware yang ditandatangani, ditandatangani zamguard64.sys atau zam64.sys ke dalam c: windows system32 folder dengan nama acak antara 4 dan 10 karakter.

Setelah driver jahat ditulis ke disk, Terminator memuatnya untuk menggunakan hak istimewa tingkat kernelnya untuk membunuh proses mode pengguna dari perangkat lunak AV dan EDR yang berjalan pada perangkat.



Meskipun tidak jelas bagaimana program Terminator berinteraksi dengan driver, eksploitasi POC dirilis pada tahun 2021 yang mengeksploitasi kelemahan pada driver untuk menjalankan perintah dengan hak istimewa kernel Windows, yang dapat digunakan untuk mengakhiri proses perangkat lunak keamanan yang biasanya dilindungi.