Aperçu :
Un acteur de la menace qui passe par le pseudo "spyboy" prétend avoir développé un "terminateur AV/EDR" qui peut être utilisé pour désactiver 24 produits de sécurité, McAfee étant répertorié comme produit pris en charge. L'acteur ne précise pas si l'outil prend en charge Trellix ENS ou EDR, mais simplement "McAfee".
Résumé des réclamations et des mesures d'atténuation de Spyboy :
-
Zemana anti-malware est un outil légitime avec des pilotes signés légitimes écrits dans un emplacement légitime (C:\Windows\System32\drivers\)
-
Cette installation nécessite des privilèges d'administrateur sur la machine (si quelqu'un a des privilèges d'administrateur sur la machine, il peut installer TOUT).
-
S'il est écrit sur le disque, cela tente de désactiver d'autres outils/produits anti-malware.
-
Trellix peut détecter et supprimer les pilotes malveillants à l'aide de l'analyse à l'accès.
-
Les produits Trellix Endpoint implémentent des capacités d'autoprotection pour protéger les services, les fichiers, le registre et les exécutables sur le point de terminaison.
-
Il exploite le système d'exploitation en utilisant la liste de contrôle d'accès (ACL) pour s'assurer que les modifications sont effectuées avec les privilèges appropriés.
-
La mise en œuvre du produit comprend un ensemble de règles d'autoprotection.
-
Les règles contrôlent l'interception des événements du noyau et l'accrochage des processus, permettant l'inspection et le blocage des activités considérées comme ne provenant pas d'un changement légitime.
Arrière-plan:
Si le propriétaire du point de terminaison installe sciemment Zemana (produit légitime) avec des privilèges d'administrateur, il serait inapproprié que Trellix bloque les installations légitimes. S'il est installé sur OS-Ring0, il fonctionne au même niveau que le produit Trellix lui-même.
Au moment de la rédaction de ce document, l'outil n'a pas été identifié ni publié publiquement. L'outil Terminator exploite des pilotes Windows légitimes mais vulnérables appartenant à l'outil anti-malware Zemana pour exécuter du code arbitraire à partir du noyau Windows (alias "ring 0"). Une fois ce niveau d'accès atteint, les produits de sécurité sont incapables d'assurer la protection. Cependant, l'anti-malware Trellix actif recherche les pilotes malveillants à l'accès et désactive les pilotes malveillants.
L'exploitation de pilotes vulnérables pour obtenir une exécution de code privilégiée est appelée attaque BYOVD (Bring Your Own Vulnerable Driver). Les attaques BYOVD ne sont pas nouvelles ; pas plus que l'utilisation des pilotes anti-malware Zemana vulnérables. Il a été supposé que si Terminator s'appuie sur les pilotes anti-malware Zemana, il exploite probablement CVE-2021-31728.
Enfin, grâce à notre capacité de renseignement sur les menaces, nous avons appris que l'auteur de la menace (Spyboy) a fait des commentaires suggérant que le pilote Zemana identifié par CrowdStrike est utilisé par l'outil Terminator. Cependant, nous soulignons à nouveau que l'outil n'a pas été publié et peut également utiliser d'autres pilotes pour réaliser l'exécution de code dans le noyau Windows. Le code réel qui exécute la post-exploitation, et donc les techniques utilisées pour désactiver les produits de sécurité, sont également inconnus.
Réponse du produit Trellix :
Le Terminator implémente une technique BYOVD en utilisant les pilotes anti-malware Zemana. Les efforts se sont concentrés sur la détection des pilotes Zemana vulnérables écrits sur le disque ou chargés par des processus. Parce que Zemana est un outil légitime, il n'est pas viable de bloquer la création ou le chargement de ces pilotes.
Le tableau suivant résume les approches de détection adoptées pour les produits Trellix.
|
Produit
|
Description de la couverture
|
|
NX/EX/AX
|
Une signature a été développée pour détecter les artefacts associés à la suppression et au chargement du pilote «zamguard64.sys » lors de l'exécution dynamique d'échantillons. La signature est publiée en mode silencieux pour validation et sera bientôt promue.
|
|
CIO HX
|
Une signature a été développée pour rechercher les pilotes vulnérables écrits sur le disque en fonction de la valeur MD5. La signature est publiée en mode silencieux pour validation et sera bientôt promue. Cette signature peut également être fournie aux clients pour leurs propres exercices de chasse.
|
|
ENS
|
ENS n'empêche pas la création du pilote vulnérable car il est considéré comme un pilote légitime. Mais, la détection a été ajoutée pour détecter les pilotes légitimes avec des noms de fichiers inattendus.
Séparément, la détection est ajoutée pour un POC publié publiquement qui montre comment exploiter la vulnérabilité du pilote (hxxps://github.com/ZeroMemoryEx/Terminator).
|
|
EDR
|
Une règle de faible gravité existe pour détecter les nouveaux pilotes écrits dans Windows\System32\drivers.
Les clients peuvent également tirer parti de la recherche historique EDR pour effectuer une recherche par hachage dans la liste des hachages de pilotes vulnérables. Plus d'informations à ce sujet sont fournies ci-dessous.
Des détections supplémentaires de haute gravité sont en cours d'évaluation pour détecter la création de services exploitant les pilotes Zemana vulnérables.
|
|
AV HX
|
Semblable à ENS, HX AV n'a pas de détection pour les pilotes Zemana légitimes. Une protection est fournie pour plusieurs POC connexes, notamment les éléments suivants :
|
Chasse à Trellix EDR :
Pour rechercher des preuves de pilotes Zemana vulnérables dans votre environnement, utilisez la requête suivante :
Sha256 in "543991ca8d1c65113dff039b85ae3f9a87f503daec30f46929fd454bc57e5a91,ff113339f97e4511a3e49fd2cc4bc1a80f69a9e57e090644271fafb803f25408,877432336a2f178e956f436229f4c147b2909e9f3f5b5be2a2c6d,132c67d15e,4937926fa892611da4d190b0e5174db83b6b1fa4ff4fe2ca8bd930db1c020fe6,c5f916a450e7e3eb6f16ed7ba6d024848544c608a76bfe3beb582cbaaeb74b4e,4710886983bd59b9b0668eda38371f46064affad4,a954301f8f2662bdfc744b,2bbc6b9dd5e6d0327250b32305be20c89b19b56d33a096522ee33f22d8c82ff1,66afdda05693c8a5bced85a7233a931f05f5908430d41d0d84bf051f474fa9c8"
Les références:
