Gawat! Terminator, Alat Penjebol Antivirus dan Ransomware Dijual Bebas
Kamis, 01 Juni 2023 - 19:23 WIB
loading...
A
A
A
Namun, seperti yang diungkapkan oleh insinyur crowdstrike dalam pos reddit, Terminator hanya menjatuhkan driver kernel anti-malware yang ditandatangani, ditandatangani zamguard64.sys atau zam64.sys ke dalam c: windows system32 folder dengan nama acak antara 4 dan 10 karakter.
Setelah driver jahat ditulis ke disk, Terminator memuatnya untuk menggunakan hak istimewa tingkat kernelnya untuk membunuh proses mode pengguna dari perangkat lunak AV dan EDR yang berjalan pada perangkat.
Baca juga: Ferrari Diserang Habis-habisan Hacker
Meskipun tidak jelas bagaimana program Terminator berinteraksi dengan driver, eksploitasi POC dirilis pada tahun 2021 yang mengeksploitasi kelemahan pada driver untuk menjalankan perintah dengan hak istimewa kernel Windows, yang dapat digunakan untuk mengakhiri proses perangkat lunak keamanan yang biasanya dilindungi.
Kepala Penelitian Sistem Nextron Florian Roth dan peneliti ancaman, Nasreddine Benychali mengatakan, Yara dan Sigma (dengan hash dan nama) dapat membantu mendeteksi alat Terminator.
Teknik ini lazim di antara para aktor ancaman yang suka menginstal driver Windows yang rentan setelah meningkatkan hak istimewa untuk memotong perangkat lunak keamanan yang berjalan pada mesin yang dikompromikan, menjalankan kode berbahaya, dan memberikan muatan berbahaya tambahan.
Setelah driver jahat ditulis ke disk, Terminator memuatnya untuk menggunakan hak istimewa tingkat kernelnya untuk membunuh proses mode pengguna dari perangkat lunak AV dan EDR yang berjalan pada perangkat.
Baca juga: Ferrari Diserang Habis-habisan Hacker
Meskipun tidak jelas bagaimana program Terminator berinteraksi dengan driver, eksploitasi POC dirilis pada tahun 2021 yang mengeksploitasi kelemahan pada driver untuk menjalankan perintah dengan hak istimewa kernel Windows, yang dapat digunakan untuk mengakhiri proses perangkat lunak keamanan yang biasanya dilindungi.
Kepala Penelitian Sistem Nextron Florian Roth dan peneliti ancaman, Nasreddine Benychali mengatakan, Yara dan Sigma (dengan hash dan nama) dapat membantu mendeteksi alat Terminator.
Teknik ini lazim di antara para aktor ancaman yang suka menginstal driver Windows yang rentan setelah meningkatkan hak istimewa untuk memotong perangkat lunak keamanan yang berjalan pada mesin yang dikompromikan, menjalankan kode berbahaya, dan memberikan muatan berbahaya tambahan.
Lihat Juga :
