3520 подписчиков
#news На Ramp’e всплыл инструмент «Terminator», который некто Spyboy продвигает под видом универсального и «легального» средства для отключения любого антивируса или EDR-решения. В обойме у программы 24 платформы, причём с очень демократичным ценником – $300 за штуку или 3 тысячи долларов за всё сразу.
Ну а на деле за чудо-решением скрывается просто BYOVD-атака. «Terminator» забрасывает драйвер zam64.sys от Zemana, под который есть эксплойт на команды в режиме ядра. Он, видимо, и использован для обрубания AV-процессов. Соответственно, атака требует права администратора и юзера, который клюнет на UAC-окно при запуске. Не менее оригинально злоумышленник обезопасил себя от преследования: под часть EDR-решений вроде Sophos и CrowdStrike отдельно софт не продаёт и оставил дисклеймер, что рансомварь и локеры использовать запрещает и за это не отвечает. И 273-й статьи, считай, как ни бывало! Здесь, здесь и здесь правила YARA и Sigma для обнаружения уязвимого драйвера от дисконтного Терминатора.
Около минуты
1 июня 2023