Gawat! Terminator, Alat Penjebol Antivirus dan Ransomware Dijual Bebas

JAKARTA - Peretas bernama Spyboy mengenalkan alat bernama Terminator, di forum peretasan berbahasa Rusia. Alat ini bisa menembus semua platform antivirus, seperti XDR, dan EDR.

Dilansir dari Bleeping Computer, Terminator diduga mampu melewati 24 antivirus berbeda (AV), deteksi dan respons titik akhir (EDR), dan solusi keamanan deteksi dan respons (XDR) yang diperluas, termasuk Windows Bek, pada Windows 7.

"Spyboy menjual perangkat lunak dengan harga mulai dari USD300 untuk bypass tunggal hingga USD3.000 untuk bypass all-in-one," kata laman itu, dikutip Kamis (1/6/2023).



Meski demikia, EDR berikut tidak dapat dijual sendiri oleh Sentinelone, Sophos, Crowdstrike, Carbon Black, Cortex, Cylance. Dia juga mengatakan, alat ini tidak dijual untuk kepentingan ransomware dan loker.

"Untuk menggunakan Terminator, klien memerlukan hak administratif pada sistem Windows yang ditargetkan dan harus menipu pengguna agar menerima pop-up Kontrol Akun Pengguna (UAC) yang akan ditampilkan," jelasnya.

Namun, seperti yang diungkapkan oleh insinyur crowdstrike dalam pos reddit, Terminator hanya menjatuhkan driver kernel anti-malware yang ditandatangani, ditandatangani zamguard64.sys atau zam64.sys ke dalam c: windows system32 folder dengan nama acak antara 4 dan 10 karakter.

Setelah driver jahat ditulis ke disk, Terminator memuatnya untuk menggunakan hak istimewa tingkat kernelnya untuk membunuh proses mode pengguna dari perangkat lunak AV dan EDR yang berjalan pada perangkat.



Meskipun tidak jelas bagaimana program Terminator berinteraksi dengan driver, eksploitasi POC dirilis pada tahun 2021 yang mengeksploitasi kelemahan pada driver untuk menjalankan perintah dengan hak istimewa kernel Windows, yang dapat digunakan untuk mengakhiri proses perangkat lunak keamanan yang biasanya dilindungi.

Kepala Penelitian Sistem Nextron Florian Roth dan peneliti ancaman, Nasreddine Benychali mengatakan, Yara dan Sigma (dengan hash dan nama) dapat membantu mendeteksi alat Terminator.

Teknik ini lazim di antara para aktor ancaman yang suka menginstal driver Windows yang rentan setelah meningkatkan hak istimewa untuk memotong perangkat lunak keamanan yang berjalan pada mesin yang dikompromikan, menjalankan kode berbahaya, dan memberikan muatan berbahaya tambahan.

"Dalam membawa serangan Rentan Anda sendiri (BYOVD), pengemudi sah yang ditandatangani dengan sertifikat yang valid dan mampu menjalankan dengan hak istimewa kernel dijatuhkan pada perangkat korban untuk menonaktifkan solusi keamanan dan mengambil alih sistem," sambungnya.



Berbagai macam kelompok ancaman telah menggunakan teknik ini selama bertahun-tahun, mulai dari geng ransomware yang termotivasi secara finansial, hingga pakaian peretasan yang didukung negara.

Baru-baru ini, peneliti keamanan Sophos X-Ops telah melihat alat peretasan baru yang dijuluki Aukill yang digunakan di alam liar untuk menonaktifkan perangkat lunak EDR dengan bantuan driver proses penjelajah yang rentan sebelum menggunakan ransomware dalam serangan BYOVD.