No cenário em constante evolução das ciberameaças, as ferramentas de segurança são constantemente visadas por agentes maliciosos. Um exemplo perfeito disso é o "Terminator", um antimalware killer promovido por um agente de ameaças conhecido como Spyboy. Esta ferramenta, anunciada num fórum de hackers de língua russa, afirma eliminar qualquer plataforma antivírus, XDR e EDR, contornando 24 soluções de segurança diferentes, incluindo o Windows Defender, em dispositivos com o Windows 7 e posterior.
No entanto, após uma inspeção mais detalhada, a ferramenta Terminator não é uma ameaça invencível. Utilizando um mecanismo semelhante a outros ataques BYOD (Bring Your Own Driver), a ferramenta Terminator pode ser evitada com uma solução de gestão de segurança de terminais e de acesso seguro, como OPSWAT MetaDefender Access. Parte das verificações abrangentes de conformidade dos pontos terminais associadas ao OPSWAT MetaDefender Access envolve a monitorização de ferramentas antimalware e se os dispositivos dos pontos terminais foram verificados.
Como funciona o antivírus Terminator
No seu núcleo, a ferramenta instala um driver vulnerável no endpoint afetado e explora essa vulnerabilidade. Para funcionar, o Terminator requer privilégios administrativos nos sistemas Windows visados. Primeiro, engana o utilizador para que aceite um pop-up de Controlo de Conta de Utilizador (UAC), dando-lhe privilégios administrativos para instalar um controlador de kernel anti-malware legítimo e assinado na pasta do sistema. O controlador malicioso aproveita então os privilégios ao nível do kernel para eliminar os processos de modo de utilizador do software AV e EDR em execução no dispositivo.
Este tipo de ataque, conhecido como ataque BYOVD (Bring Your Own Vulnerable Driver - Traga o seu próprio controlador vulnerável), é predominante entre os agentes de ameaças. O Terminator não é o único ataque BYOVD recente. O recente ataque de ransomware BlackByte também seguiu o mesmo padrão de ataque, abusando de um driver defeituoso para obter privilégios de alto nível. Outro ataque ocorreu durante o terceiro trimestre de 2022 e envolveu o abuso do driver anti-cheat do Genshin Impact para eliminar programas antivírus. Todos estes ataques apontam para uma realidade preocupante em que nem mesmo os controladores legítimos são totalmente fiáveis.
MetaDefender Acesso: A solução ZTNA mais abrangente
Para combater estas ameaças crescentes, é crucial utilizar uma solução que possa monitorizar e controlar a postura de segurança de todos os dispositivos antes de estes poderem aceder a aplicações sensíveis.
Ao implementar uma solução como o MetaDefender Access, as organizações podem monitorizar e controlar proactivamente a postura de segurança dos seus dispositivos. Isto pode ajudar a detetar ferramentas aparentemente legítimas como o Terminator antes de causarem danos, garantindo que todos os dispositivos mantêm os controlos de segurança e as normas de conformidade necessários. MetaDefender O Access também pode monitorizar se as suas ferramentas antimalware estão a funcionar corretamente e se o dispositivo de ponto final foi verificado.
Além disso, MetaDefender Access também oferece uma solução de Network Access Control NAC) que garante que todas as ligações de rede e dispositivos endpoint são visíveis, permitidos ou bloqueados adequadamente em tempo real. Com o MetaDefender NAC, a ameaça associada a incidentes de segurança como o Terminator pode ser reduzida substancialmente.
MetaDefender NAC fornece identificação, criação de perfis e controlo de acesso sem agentes para todos os dispositivos ligados a uma rede. Obtém informações de dispositivos de rede em linha, ferramentas de gestão de acesso de identidade existentes e do próprio dispositivo.
Com o MetaDefender Access, obtém a descoberta em tempo real de novos utilizadores e dispositivos, verificações de conformidade para verificar se os dispositivos cumprem as normas empresariais e regulamentares, integração bidirecional de ferramentas de segurança para reacções rápidas e quarentenas em tempo real para alertas graves, e muito mais. A solução também fornece informações sobre dispositivos através de análises sem agentes e baseadas em agentes e pode atuar sobre alertas de ferramentas de segurança de terceiros para isolar sistemas.
Para mais informações sobre a nossa solução, contacte os nossos especialistas em segurança.
