Panoramica:
Un attore di minacce che si fa chiamare "spyboy" afferma di aver sviluppato un "terminatore AV/EDR" che può essere utilizzato per disabilitare 24 prodotti di sicurezza, con McAfee elencato come prodotto supportato. L'attore non specifica se lo strumento supporta Trellix ENS o EDR, ma solo "McAfee".
Riepilogo reclami e mitigazioni di Spyboy:
-
Zemana antimalware è uno strumento legittimo con driver firmati legittimi scritti in una posizione legittima (C:\Windows\System32\drivers\)
-
Questa installazione richiede i privilegi di amministratore sulla macchina (se qualcuno ha i privilegi di amministratore sulla macchina, può installare QUALSIASI COSA).
-
Se scritto su disco, tenta di disabilitare altri strumenti/prodotti antimalware.
-
Trellix è in grado di rilevare ed eliminare driver dannosi utilizzando la scansione in accesso.
-
I prodotti Trellix Endpoint implementano funzionalità di autoprotezione per proteggere i servizi, i file, il registro e gli eseguibili sull'endpoint.
-
Sfrutta il sistema operativo, utilizzando l'elenco di controllo di accesso (ACL) per assicurarsi che le modifiche vengano eseguite con i privilegi corretti.
-
L'implementazione del prodotto include una serie di regole di autoprotezione.
-
Le regole controllano l'intercettazione degli eventi del kernel e l'aggancio dei processi, consentendo l'ispezione e il blocco di attività ritenute non originate da una modifica legittima.
Sfondo:
Se il proprietario dell'endpoint installa consapevolmente Zemana (prodotto legittimo) con privilegi di amministratore, sarebbe inappropriato per Trellix bloccare le installazioni legittime. Se installato su OS-Ring0, funziona allo stesso livello del prodotto Trellix stesso.
Al momento della stesura di questo documento, lo strumento non è stato identificato o rilasciato pubblicamente. Lo strumento Terminator sfrutta driver Windows legittimi ma vulnerabili appartenenti allo strumento antimalware Zemana per eseguire codice arbitrario all'interno del kernel di Windows (noto anche come "anello 0"). Una volta raggiunto questo livello di accesso, i prodotti di sicurezza non sono in grado di fornire protezione. Tuttavia, l'antimalware Trellix attivo esegue la scansione dei driver dannosi in accesso e disabilita i driver dannosi.
Lo sfruttamento di driver vulnerabili per ottenere l'esecuzione di codice con privilegi viene definito attacco BYOVD (Bring Your Own Vulnerable Driver). Gli attacchi BYOVD non sono nuovi; né l'uso dei vulnerabili driver antimalware di Zemana. È stato ipotizzato che se Terminator si affida ai driver antimalware Zemana, è probabile che sfrutti CVE-2021-31728.
Infine, attraverso la nostra capacità di intelligence sulle minacce, abbiamo appreso che l'autore della minaccia (Spyboy) ha fatto commenti che suggeriscono che il driver Zemana identificato da CrowdStrike è utilizzato dallo strumento Terminator. Tuttavia, sottolineiamo nuovamente che lo strumento non è stato rilasciato e può utilizzare anche altri driver per ottenere l'esecuzione del codice nel kernel di Windows. Anche il codice effettivo che esegue il post-sfruttamento, e quindi le tecniche utilizzate per disabilitare i prodotti di sicurezza, sono sconosciuti.
Risposta del prodotto Trellix:
Terminator implementa una tecnica BYOVD utilizzando i driver antimalware Zemana. Gli sforzi si sono concentrati sul rilevamento dei driver Zemana vulnerabili scritti su disco o caricati dai processi. Poiché Zemana è uno strumento legittimo, non è possibile bloccare la creazione o il caricamento di questi driver.
La tabella seguente riassume gli approcci di rilevamento adottati per i prodotti Trellix.
|
Prodotto
|
Descrizione della copertura
|
|
NX/EX/AX
|
È stata sviluppata una firma per rilevare gli artefatti associati all'eliminazione e al caricamento del driver "zamguard64.sys" durante l'esecuzione dinamica dei campioni. La firma viene rilasciata in modalità silenziosa per la convalida e verrà promossa a breve.
|
|
CIO HX
|
È stata sviluppata una firma che cerca i driver vulnerabili scritti su disco in base al valore MD5. La firma viene rilasciata in modalità silenziosa per la convalida e verrà promossa a breve. Questa firma può essere fornita anche ai clienti per i propri esercizi di caccia.
|
|
ENS
|
ENS non impedisce la creazione del driver vulnerabile poiché è considerato un driver legittimo. Tuttavia, è stato aggiunto il rilevamento per rilevare i driver legittimi con nomi di file imprevisti.
Separatamente, viene aggiunto il rilevamento per un POC rilasciato pubblicamente che dimostra come sfruttare la vulnerabilità del driver (hxxps://github.com/ZeroMemoryEx/Terminator).
|
|
EDR
|
Esiste una regola di gravità bassa per rilevare i nuovi driver scritti in Windows\System32\drivers.
I clienti possono anche sfruttare la ricerca storica EDR per eseguire una ricerca hash per l'elenco degli hash dei driver vulnerabili. Ulteriori informazioni in merito sono fornite di seguito.
Ulteriori rilevamenti ad alta gravità sono in fase di valutazione per rilevare la creazione di servizi che sfruttano i driver Zemana vulnerabili.
|
|
HXAV
|
Simile a ENS, HX AV non ha il rilevamento per i driver Zemana legittimi. La protezione viene fornita per diversi POC correlati, inclusi i seguenti:
|
Caccia in Trellix EDR:
Per cercare prove di driver Zemana vulnerabili nel tuo ambiente, utilizza la seguente query:
Sha256 in "543991ca8d1c65113dff039b85ae3f9a87f503daec30f46929fd454bc57e5a91,ff113339f97e4511a3e49fd2cc4bc1a80f69a9e57e090644271fafb803f25408,877432336a2f178e956f436229f4c147b2909e9f3f5b5be2a2c6d,132c67d15e,4937926fa892611da4d190b0e5174db83b6b1fa4ff4fe2ca8bd930db1c020fe6,c5f916a450e7e3eb6f16ed7ba6d024848544c608a76bfe3beb582cbaaeb74b4e,4710886983bd59b9b0668eda38371f46064affad4,a954301f8f2662bdfc744b,2bbc6b9dd5e6d0327250b32305be20c89b19b56d33a096522ee33f22d8c82ff1,66afdda05693c8a5bced85a7233a931f05f5908430d41d0d84bf051f474fa9c8"
Riferimenti:
