
Un acteur malveillant connu sous le nom de Spyboy fait la promotion d’un outil appelé « Terminator » sur un forum de piratage russophone qui peut prétendument mettre fin à toute plate-forme antivirus, XDR et EDR. Cependant, CrowdStrike dit qu’il ne s’agit que d’une attaque sophistiquée BYOVD (Bring Your Own Vulnerable Driver).
Terminator serait capable de contourner 24 solutions de sécurité antivirus (AV), Endpoint Detection and Response (EDR) et Extended Detection and Response (XDR), y compris Windows Defender, sur des appareils exécutant Windows 7 et versions ultérieures,
Spyboy vend le logiciel à des prix allant de 300 $ pour un contournement unique à 3 000 $ pour un contournement tout-en-un.
« Les EDR suivants ne peuvent pas être vendus seuls : SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, Cylance », déclare l’auteur de la menace, avec un avertissement indiquant que « les rançongiciels et les casiers ne sont pas autorisés et je ne suis pas responsable de ces actions ».
Pour utiliser Terminator, les « clients » nécessitent des privilèges administratifs sur les systèmes Windows ciblés et doivent inciter l’utilisateur à accepter une fenêtre contextuelle de contrôle de compte d’utilisateur (UAC) qui s’affichera lors de l’exécution de l’outil.
Cependant, comme l’a révélé un ingénieur de CrowdStrike dans un article de Reddit, Terminator dépose simplement le pilote de noyau anti-malware Zemana légitime et signé nommé zamguard64.sys ou zam64.sys dans le dossier C:\Windows\System32\ avec un nom aléatoire entre 4 et 10 caractères.
Une fois le pilote malveillant écrit sur le disque, Terminator le charge pour utiliser ses privilèges au niveau du noyau afin de tuer les processus en mode utilisateur des logiciels AV et EDR exécutés sur l’appareil.
Bien qu’il ne soit pas clair comment le programme Terminator s’interface avec le pilote, un exploit PoC a été publié en 2021 qui exploite les failles du pilote pour exécuter des commandes avec les privilèges du noyau Windows, qui pourraient être utilisées pour mettre fin aux processus logiciels de sécurité normalement protégés.

Ce pilote n’est actuellement détecté que par un seul moteur d’analyse anti-malware en tant que pilote vulnérable, selon une analyse VirusTotal.
Heureusement, le responsable de la recherche de Nextron Systems, Florian Roth, et le chercheur sur les menaces Nasreddine Bencherchali ont déjà partagé les règles YARA et Sigma (par hachage et par nom) qui peuvent aider les défenseurs à détecter le pilote vulnérable utilisé par l’outil Terminator.
Cette technique est répandue parmi les acteurs de la menace qui aiment installer des pilotes Windows vulnérables après avoir augmenté les privilèges pour contourner les logiciels de sécurité exécutés sur les machines compromises, exécuter du code malveillant et fournir des charges utiles malveillantes supplémentaires.
Dans les attaques BYOVD (Bring Your Own Vulnerable Driver), des pilotes légitimes signés avec des certificats valides et capables de s’exécuter avec les privilèges du noyau sont déposés sur les appareils des victimes pour désactiver les solutions de sécurité et prendre le contrôle du système.
Un large éventail de groupes de menaces utilisent cette technique depuis des années, allant des gangs de rançongiciels à motivation financière aux équipes de piratage soutenues par l’État.
Plus récemment, les chercheurs en sécurité de Sophos X-Ops ont repéré un nouvel outil de piratage appelé AuKill utilisé dans la nature pour désactiver le logiciel EDR à l’aide d’un pilote Process Explorer vulnérable avant de déployer un rançongiciel dans les attaques BYOVD.