Descripción general:
Un Threat Actor que se hace llamar "spyboy" afirma haber desarrollado un "terminador AV/EDR" que se puede usar para deshabilitar 24 productos de seguridad, con McAfee listado como un producto compatible. El actor no especifica si la herramienta es compatible con Trellix ENS o EDR, sino solo con "McAfee".
Resumen de reclamos y mitigaciones de Spyboy:
-
Zemana anti-malware es una herramienta legítima con controladores firmados legítimos escritos en una ubicación legítima (C:\Windows\System32\drivers\)
-
Esta instalación requiere privilegios de administrador en la máquina (si alguien tiene privilegios de administrador en la máquina, puede instalar CUALQUIER COSA).
-
Si se escribe en el disco, esto intenta deshabilitar otras herramientas/productos antimalware.
-
Trellix puede detectar y eliminar controladores maliciosos mediante el análisis en acceso.
-
Los productos Trellix Endpoint implementan capacidades de autoprotección para proteger los servicios, los archivos, el registro y los ejecutables en el endpoint.
-
Aprovecha el sistema operativo, haciendo uso de la Lista de control de acceso (ACL) para asegurarse de que los cambios se realicen con los privilegios correctos.
-
La implementación del producto incluye un conjunto de reglas de autoprotección.
-
Las reglas controlan la intercepción de eventos del núcleo y la TIE de procesos, lo que permite la inspección y el bloqueo de la actividad que se considera que no se origina en un cambio legítimo.
Fondo:
Si el propietario del Endpoint instala a sabiendas Zemana (producto legítimo) con privilegios de administrador, sería inapropiado que Trellix bloqueara las instalaciones legítimas. Si se instala en OS-Ring0, funciona al mismo nivel que el propio producto Trellix.
En el momento de redactar este documento, la herramienta no ha sido identificada ni publicada públicamente. La herramienta Terminator aprovecha los controladores de Windows legítimos pero vulnerables que pertenecen a la herramienta antimalware Zemana para ejecutar código arbitrario desde dentro del kernel de Windows (también conocido como "anillo 0"). Una vez que se alcanza este nivel de acceso, los productos de seguridad no pueden brindar protección. Sin embargo, el antimalware activo de Trellix analiza en busca de controladores maliciosos durante el acceso y los desactiva.
La explotación de controladores vulnerables para lograr la ejecución de código privilegiado se denomina ataque Bring Your Own Vulnerable Driver (BYOVD). Los ataques BYOVD no son nuevos; ni tampoco el uso de los controladores antimalware vulnerables de Zemana. Se ha especulado que si Terminator se basa en los controladores antimalware de Zemana, es probable que explote CVE-2021-31728.
Por último, a través de nuestra capacidad de inteligencia de amenazas, hemos aprendido que el actor de amenazas (Spyboy) hizo comentarios que sugieren que el controlador Zemana identificado por CrowdStrike es utilizado por la herramienta Terminator. Sin embargo, volvemos a enfatizar que la herramienta no se ha lanzado y que también puede usar otros controladores para lograr la ejecución del código en el kernel de Windows. También se desconoce el código real que se ejecuta después de la explotación y, por lo tanto, las técnicas utilizadas para deshabilitar los productos de seguridad.
Respuesta del producto Trellix:
Terminator implementa una técnica BYOVD utilizando controladores antimalware de Zemana. Los esfuerzos se han centrado en la detección de los controladores Zemana vulnerables que se escriben en el disco o se cargan mediante procesos. Debido a que Zemana es una herramienta legítima, no es viable bloquear la creación o carga de estos controladores.
La siguiente tabla resume los enfoques de detección adoptados para los productos Trellix.
|
Producto
|
Descripción de la cobertura
|
|
NX/EX/AX
|
Se ha desarrollado una firma para detectar artefactos asociados con la colocación y carga del controlador "zamguard64.sys" durante la ejecución dinámica de muestras. La firma se libera en modo silencioso para su validación y se promoverá pronto.
|
|
HX COI
|
Se ha desarrollado una firma que busca los controladores vulnerables que se escriben en el disco en función del valor MD5. La firma se libera en modo silencioso para su validación y se promoverá pronto. Esta firma también se puede proporcionar a los clientes para sus propios ejercicios de caza.
|
|
ENS
|
ENS no impide la creación del controlador vulnerable ya que se considera un controlador legítimo. Sin embargo, se ha agregado detección para detectar los controladores legítimos con nombres de archivo inesperados.
Por separado, se agrega detección para un POC publicado públicamente que demuestra cómo explotar la vulnerabilidad del controlador (hxxps://github.com/ZeroMemoryEx/Terminator).
|
|
EDR
|
Existe una regla de gravedad baja para detectar que se escriben nuevos controladores en Windows\System32\drivers.
Los clientes también pueden aprovechar la búsqueda histórica de EDR para realizar una búsqueda hash de la lista de hash de controladores vulnerables. Más información sobre esto se proporciona a continuación.
Se están evaluando detecciones adicionales de alta gravedad para detectar la creación de servicios que aprovechan los controladores Zemana vulnerables.
|
|
HX AV
|
Similar a ENS, HX AV no tiene detección para los controladores legítimos de Zemana. Se proporciona protección para varios POC relacionados, incluidos los siguientes:
|
Cazando en Trellix EDR:
Para buscar evidencia de controladores Zemana vulnerables en su entorno, utilice la siguiente consulta:
Sha256 in "543991ca8d1c65113dff039b85ae3f9a87f503daec30f46929fd454bc57e5a91,ff113339f97e4511a3e49fd2cc4bc1a80f69a9e57e090644271fafb803f25408,877432336a2f178e956f436229f4c147b2909e9f3f5b5be2a2c6d,132c67d15e,4937926fa892611da4d190b0e5174db83b6b1fa4ff4fe2ca8bd930db1c020fe6,c5f916a450e7e3eb6f16ed7ba6d024848544c608a76bfe3beb582cbaaeb74b4e,4710886983bd59b9b0668eda38371f46064affad4,a954301f8f2662bdfc744b,2bbc6b9dd5e6d0327250b32305be20c89b19b56d33a096522ee33f22d8c82ff1,66afdda05693c8a5bced85a7233a931f05f5908430d41d0d84bf051f474fa9c8"
Referencias:
