Visão geral:
Um Threat Actor que atende pelo apelido de "spyboy" afirma ter desenvolvido um "terminador AV/EDR" que pode ser usado para desativar 24 produtos de segurança, com a McAfee listado como um produto compatível. O ator não especifica se a ferramenta suporta Trellix ENS ou EDR, mas apenas "McAfee".
Resumo de reivindicações e atenuações do Spyboy:
-
O anti-malware Zemana é uma ferramenta legítima com drivers assinados legítimos gravados em um local legítimo (C:\Windows\System32\drivers\)
-
Esta instalação requer privilégios de administrador na máquina (se alguém tiver privilégios de administrador na máquina, pode instalar QUALQUER COISA).
-
Se gravado em disco, isso tenta desativar outras ferramentas/produtos antimalware.
-
O Trellix pode detectar e excluir drivers maliciosos usando a varredura no acesso.
-
Os produtos Trellix Endpoint implementam recursos de autoproteção para proteger os serviços, arquivos, registro e executáveis no endpoint.
-
Ele aproveita o sistema operacional, fazendo uso da lista de controle de acesso (ACL) para garantir que as alterações sejam realizadas com os privilégios corretos.
-
A implementação do produto inclui um conjunto de regras de autoproteção.
-
As regras controlam a interceptação de eventos do kernel e o hooking de processos, permitindo a inspeção e o bloqueio de atividades consideradas não originárias de uma alteração legítima.
Fundo:
Se o proprietário do Endpoint instalar conscientemente o Zemana (produto legítimo) com privilégios de administrador, seria inapropriado para a Trellix bloquear instalações legítimas. Se instalado no OS-Ring0, ele opera no mesmo nível do próprio produto Trellix.
No momento da redação deste documento, a ferramenta não foi identificada ou divulgada publicamente. A ferramenta Terminator utiliza drivers do Windows legítimos, mas vulneráveis, pertencentes à ferramenta anti-malware Zemana para executar código arbitrário de dentro do kernel do Windows (também conhecido como "anel 0"). Depois que esse nível de acesso é alcançado, os produtos de segurança são incapazes de fornecer proteção. Porém, o antimalware Trellix ativo verifica se há drivers mal-intencionados no acesso e desativa os drivers mal-intencionados.
A exploração de drivers vulneráveis para obter execução de código privilegiado é chamada de ataque Traga seu próprio driver vulnerável (BYOVD). Os ataques BYOVD não são novos; nem o uso dos drivers anti-malware Zemana vulneráveis. Especula-se que, se o Terminator depende dos drivers anti-malware Zemana, provavelmente está explorando o CVE-2021-31728.
Por fim, por meio de nossa capacidade de inteligência de ameaças, descobrimos que o agente da ameaça (Spyboy) fez comentários que sugerem que o driver Zemana identificado pelo CrowdStrike é usado pela ferramenta Terminator. No entanto, enfatizamos novamente que a ferramenta não foi lançada e também pode usar outros drivers para executar o código no kernel do Windows. O código real que executa a pós-exploração e, portanto, as técnicas usadas para desabilitar os produtos de segurança também são desconhecidos.
Resposta do produto Trellix:
O Terminator implementa uma técnica BYOVD usando drivers anti-malware Zemana. Esforços foram focados na detecção de drivers Zemana vulneráveis sendo gravados em disco ou carregados por processos. Como o Zemana é uma ferramenta legítima, não é viável bloquear a criação ou o carregamento desses drivers.
A tabela a seguir resume as abordagens de detecção adotadas para os produtos Trellix.
Produto
|
Descrição da Cobertura
|
NX/EX/AX
|
Uma assinatura foi desenvolvida para detectar artefatos associados à queda e carregamento do driver "zamguard64.sys" durante a execução dinâmica de amostras. A assinatura está liberada em modo silencioso para validação e será divulgada em breve.
|
HX COI
|
Foi desenvolvida uma assinatura que procura os drivers vulneráveis sendo gravados no disco com base no valor MD5. A assinatura está liberada em modo silencioso para validação e será divulgada em breve. Essa assinatura também pode ser fornecida aos clientes para seus próprios exercícios de caça.
|
ENS
|
O ENS não impede a criação do driver vulnerável, pois é considerado um driver legítimo. Porém, a detecção foi adicionada para detectar os drivers legítimos com nomes de arquivo inesperados.
Separadamente, a detecção é adicionada para um POC lançado publicamente que demonstra como explorar a vulnerabilidade do driver (hxxps://github.com/ZeroMemoryEx/Terminator).
|
EDR
|
Existe uma regra de baixa gravidade para detectar novos drivers sendo gravados em Windows\System32\drivers.
Os clientes também podem aproveitar a pesquisa histórica de EDR para realizar uma pesquisa de hash para a lista de hashes de driver vulneráveis. Mais informações sobre isso são fornecidas abaixo.
Detecções adicionais de alta gravidade estão sendo avaliadas para detectar a criação de serviços que aproveitam os drivers Zemana vulneráveis.
|
HX AV
|
Semelhante ao ENS, o HX AV não possui detecção para os drivers Zemana legítimos. A proteção é fornecida para vários POCs relacionados, incluindo os seguintes:
|
Caçando em Trellix EDR:
Para procurar evidências de drivers Zemana vulneráveis em seu ambiente, use a seguinte consulta:
Sha256 in "543991ca8d1c65113dff039b85ae3f9a87f503daec30f46929fd454bc57e5a91,ff113339f97e4511a3e49fd2cc4bc1a80f69a9e57e090644271fafb803f25408,877432336a2f178e956f436229f4c147b2909e9f3f5b5be2a2c6d,132c67d15e,4937926fa892611da4d190b0e5174db83b6b1fa4ff4fe2ca8bd930db1c020fe6,c5f916a450e7e3eb6f16ed7ba6d024848544c608a76bfe3beb582cbaaeb74b4e,4710886983bd59b9b0668eda38371f46064affad4,a954301f8f2662bdfc744b,2bbc6b9dd5e6d0327250b32305be20c89b19b56d33a096522ee33f22d8c82ff1,66afdda05693c8a5bced85a7233a931f05f5908430d41d0d84bf051f474fa9c8"
Referências: