概述:

一个名为“spyboy”的威胁行为者声称已开发出一种“AV/EDR 终结者”，可用于禁用 24 种安全产品，其中 McAfee 被列为受支持产品。攻击者没有指定该工具是否支持 Trellix ENS 还是 EDR，而只是指定“McAfee”。


Spyboy 索赔和缓解措施摘要：

1. Zemana 反恶意软件 是一种合法工具，具有写入合法位置的合法签名驱动程序 (C:\Windows\System32\drivers\)

2. 此安装需要计算机上的管理员权限（如果某人拥有计算机上的管理员权限，他们可以安装任何东西）。

3. 如果写入磁盘，这会尝试禁用其他反恶意软件工具/产品。

4. Trellix 可以使用按访问扫描来检测和删除恶意驱动程序。

5. Trellix Endpoint 产品实现自我保护功能来保护端点上的服务、文件、注册表和可执行文件。

   1. 它利用操作系统，利用访问控制列表 (ACL) 确保以正确的权限执行更改。

   2. 产品实施包括一套自我保护规则。

   3. 这些规则控制内核事件拦截和进程挂钩，允许检查和阻止被视为并非源自合法更改的活动。

背景：

如果端点所有者故意使用管理员权限安装 Zemana（合法产品），则 Trellix 阻止合法安装是不合适的。如果安装在 OS-Ring0 上，它的运行级别与 Trellix 产品本身相同。

在撰写本文档时，该工具尚未被识别或公开发布。Terminator 工具利用属于 Zemana 反恶意软件工具的合法但易受攻击的 Windows 驱动程序来执行 Windows 内核（也称为“ring 0”）内的任意代码。一旦达到这种访问级别，安全产品就无法提供保护。但是，主动 Trellix 反恶意软件会在访问时扫描恶意驱动程序并禁用恶意驱动程序。

利用易受攻击的驱动程序来实现特权代码执行称为自带易受攻击的驱动程序 (BYOVD) 攻击。BYOVD 攻击并不新鲜；使用易受攻击的 Zemana 反恶意软件驱动程序也不是。据推测，如果终结者依赖 Zemana 反恶意软件驱动程序，它很可能会利用 CVE-2021-31728。

最后，通过我们的威胁情报功能，我们了解到威胁参与者 (Spyboy) 发表的评论表明 CrowdStrike 识别的 Zemana 驱动程序已被 Terminator 工具使用。不过，我们再次强调，该工具尚未发布，也可以使用其他驱动程序来实现 Windows 内核中的代码执行。执行后利用的实际代码以及用于禁用安全产品的技术也是未知的。

Trellix 产品响应：

Terminator 使用 Zemana 反恶意软件驱动程序实施 BYOVD 技术。我们的工作重点是检测写入磁盘或进程加载的易受攻击的 Zemana 驱动程序。由于 Zemana 是合法工具，因此无法阻止这些驱动程序的创建或加载。

下表总结了 Trellix 产品所采用的检测方法。

在 Trellix EDR 中狩猎：

要在您的环境中寻找存在漏洞的 Zemana 驱动程序的证据，请使用以下查询：

Sha256 in "543991ca8d1c65113dff039b85ae3f9a87f503daec30f46929fd454bc57e5a91,ff113339f97e4511a3e49fd2cc4bc1a80f69a9e57e090644271fafb803f25408,877432336a2f178e956f436229f4c147b2909e9f3f5b5be2a2c6d,132c67d15e,4937926fa892611da4d190b0e5174db83b6b1fa4ff4fe2ca8bd930db1c020fe6,c5f916a450e7e3eb6f16ed7ba6d024848544c608a76bfe3beb582cbaaeb74b4e,4710886983bd59b9b0668eda38371f46064affad4,a954301f8f2662bdfc744b,2bbc6b9dd5e6d0327250b32305be20c89b19b56d33a096522ee33f22d8c82ff1,66afdda05693c8a5bced85a7233a931f05f5908430d41d0d84bf051f474fa9c8"

参考：

• CrowStrike 咨询

• CVE-2021-31728

• TrendMicro 博客 概述了这些相同驱动程序最近用于相同目的的另一个用途