Ricerche sulle CyberMinacce

Gli aggressori abusano ancora del tool Terminator e delle sue varianti

Rilasciato per la prima volta nel maggio del 2023, l’EDR killer e i driver Zemana vulnerabili su cui fa leva sono ancora oggetto di interesse da parte dei cyber criminali, insieme alle varianti e alle versioni modificate
Scritto da ,
12 Marzo 2024
Threat Research AuKill BlackByte BYOVD drivers featured Ransomware Sophos X-Ops terminator zam

BYOVD (Bring Your Own Vulnerable Driver) è un tipo di attacco che vede gli aggressori rilasciare driver vulnerabili noti su un computer compromesso e poi sfruttare i bug per ottenere privilegi a livello di kernel. A questo livello di accesso, gli attaccanti possono ottenere molti risultati: nascondere malware, scaricare credenziali e, soprattutto, tentare di disabilitare le soluzioni EDR.

Gli attaccanti hanno l’imbarazzo della scelta quando si tratta di scegliere i driver vulnerabili; al momento in cui scriviamo, ci sono 364 voci etichettate come “driver vulnerabile” elencate su loldrivers.io, un repository open-source di driver vulnerabili e firme e hash corrispondenti. Forse per questo motivo, negli ultimi anni gli attacchi BYOVD, in precedenza appannaggio di individui altamente sofisticati, sono diventati popolari tra gli operatori di ransomware e gli attaccanti di livello inferiore.

Nel febbraio 2020, ad esempio, abbiamo riferito di una campagna di ransomware RobbinHood in cui l’aggressore abusava di un driver legittimo firmato da un produttore di schede madri per disabilitare i prodotti EDR. Da allora, abbiamo segnalato anche una campagna di ransomware BlackByte che abusava di un driver per schede grafiche; una campagna BYOVD in cui gli attaccanti sfruttavano un driver di Windows; e diversi incidenti che coinvolgevano AuKill, uno strumento che abusa di un driver di Process Explorer obsoleto e che abbiamo osservato essere utilizzato dagli autori di minacce in diversi episodi di ransomware.

Un’altra possibile ragione per cui BYOVD è diventato popolare tra gli aggressori di basso livello è che i kit e gli strumenti non disponibili vengono ora acquistati e venduti sui forum criminali. Uno in particolare ha attirato una notevole attenzione nel maggio 2023, quando un cyber criminale noto come spyboy ha pubblicizzato uno strumento chiamato Terminator sul forum di ransomware in lingua russa RAMP. Il venditore sosteneva che lo strumento, il cui prezzo variava da 300 a 3.000 dollari, era in grado di disattivare ventiquattro prodotti di sicurezza.

Hasta la driver, baby

Un’analisi di CrowdStrike del 2023 ha rivelato che Terminator sembra essere uno strumento BYOVD, con il driver vulnerabile in questione che è zam64.sys (Zemana Anti-Logger) o zamguard64.sys (Zemana Anti-Malware, o ZAM), pubblicato e firmato da Zemana. Entrambi i driver condividono quasi la stessa base di codice.

Leggi qui per saperne di più.

L’autore

Andreas Klopsch (@hackingump1), a threat researcher at Sophos, is currently completing a master's degree in cybersecurity at the Institute of IT Security at the Westfällische Hochschule in Gelsenkirchen.

L’autore

Matt Wixey is a Principal Technical Editor and Senior Threat Researcher at Sophos. He is a former penetration tester, and previously led cybersecurity R&D capabilities at both PwC UK and a specialist unit in the Metropolitan Police Service, digging into emerging attack vectors, vulnerabilities, and new technologies. Matt has spoken at national and international conferences, including Black Hat USA, DEF CON, ISF Annual Congress, 44con, and BruCon.

Leggi articoli simili

Lascia un commento

Your email address will not be published. Required fields are marked *