Redazione RHC : 3 Giugno 2023 10:58
Qualche giorno fa avevamo riportato di uno strumento in vendita nelle underground capace di terminare molti dispositivi Antivirus EDR e XDR.
Ora sembrerebbe più chiaro il suo funzionamento.
Lo strumento chiamato Terminator è distribuito sui forum di hacking in lingua russa. Il suo venditore, Spyboy, ha affermato che Terminator è in grado di bloccare qualsiasi piattaforma antivirus, XDR e EDR. Tuttavia, gli esperti di CrowdStrike sono giunti alla conclusione che, in effetti, Terminator è un attacco BYOVD.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
In tali attacchi, i driver legittimi firmati con certificati validi e in grado di funzionare con i privilegi del kernel vengono rilasciati sui dispositivi delle vittime per disabilitare le soluzioni di sicurezza e alla fine assumere il controllo del sistema.
Spyboy afferma che Terminator è in grado di bypassare 24 diversi antivirus, nonché soluzioni EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response), incluso Windows Defender su dispositivi che eseguono Windows 7 e versioni successive.
L’autore sta vendendo Terminator a 300 dollari per aggirare una singola soluzione di sicurezza anche se non è possibile acquistare una versione per il solo bypass di SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, Cylance. Chiede invece 3.000 dollari per la versione completa.
Sempre nell’annuncio, Spyboy sottolinea che lutilizzo della soluzione per finalità di ransomware e locker sono proibiti e non è responsabile di tali azioni.
Prima di utilizzare Terminator, i “client” di Spyboy avranno bisogno di privilegi amministrativi sui sistemi Windows di destinazione e dovranno anche indurre l’utente a consentire l’esecuzione dello strumento UAC.
I ricercatori di CrowdStrike affermano che Terminator inserisce semplicemente un driver del kernel Zemana firmato legittimo (zamguard64.sys o zam64.sys) nella cartella C:\Windows\System32\ con un nome casuale da 4 a 10 caratteri.
Quando un driver dannoso viene scritto sul disco, Terminator lo carica e utilizza i privilegi a livello di Kernel per terminare i processi del software antivirus o EDR/XDR in esecuzione sul dispositivo.
Sebbene non sia chiaro esattamente come Terminator interagisca con il driver, nel 2021 è stato rilasciato un exploit PoC che sfrutta i difetti nei driver per eseguire comandi con i privilegi del Kernel di Windows e questo può essere sfruttato per terminare i processi anti-malware.
Secondo VirusTotal, il driver attualmente utilizzato viene rilevato come vulnerabile e potenzialmente dannoso da un solo motore antivirus.
Tuttavia, gli esperti di Nextron Systems hanno già condiviso le regole YARA e Sigma (per hash e per nome) che aiuteranno a difendere e a rilevare il driver vulnerabile utilizzato da Terminator.
RedazioneNella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...
Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...
Le persone tendono a essere più comprensive nei confronti dei chatbot se li considerano interlocutori reali. Questa è la conclusione a cui sono giunti gli scienziati dell’Universit&#x...
La Sfida della Sicurezza nelle Reti Wi-Fi e una Soluzione Adattiva. Nell’era della connettività pervasiva, lo standard IEEE 802.11(meglio noto come Wi-Fi ), è diventato la spina dorsa...
Nel mese di aprile 2025, una valvola idraulica di una diga norvegese è stata forzatamente aperta da remoto per diverse ore, a seguito di un attacco informatico mirato. L’episodio, riportat...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
