search
ko한국어
banner
홈페이지 / 블로그 / 터미네이터 바이러스 백신 킬러는 위장된 취약한 Windows 드라이버입니다.
블로그
pageSearch
최근 뉴스

터미네이터 바이러스 백신 킬러는 위장된 취약한 Windows 드라이버입니다.

Apr 10, 2023Apr 10, 2023

Spyboy로 알려진 위협 행위자는 러시아어를 사용하는 해킹 포럼에서 모든 바이러스 백신, XDR 및 EDR 플랫폼을 종료할 수 있는 "터미네이터"라는 도구를 홍보하고 있습니다. 그러나 CrowdStrike는 이는 단지 멋진 BYOVD(Bring Your Own Vulnerable Driver) 공격일 뿐이라고 말합니다.

터미네이터는 Windows 7 이상을 실행하는 장치에서 Windows Defender를 포함한 24가지 바이러스 백신(AV), 엔드포인트 탐지 및 응답(EDR), 확장 탐지 및 응답(XDR) 보안 솔루션을 우회할 수 있는 것으로 알려져 있습니다.

Spyboy는 단일 우회의 경우 300달러부터 올인원 우회의 경우 3,000달러에 이르는 가격으로 소프트웨어를 판매합니다.

위협 행위자는 "다음 EDR은 단독으로 판매할 수 없습니다: SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, Cylance"라고 말하면서 "랜섬웨어와 사물함은 허용되지 않으며 저는 그러한 행위에 대해 책임을 지지 않습니다."라고 밝혔습니다.

터미네이터를 사용하려면 "클라이언트"에 대상 Windows 시스템에 대한 관리 권한이 필요하며 도구를 실행할 때 표시되는 UAC(사용자 계정 컨트롤) 팝업을 수락하도록 사용자를 속여야 합니다.

그러나 CrowdStrike 엔지니어가 Reddit 게시물에서 밝힌 것처럼 Terminator는 zamguard64.sys 또는 zam64.sys라는 합법적이고 서명된 Zemana 안티 맬웨어 커널 드라이버를 C:\Windows\System32\ 폴더에 4와 4 사이의 임의 이름으로 삭제합니다. 10자.

악성 드라이버가 디스크에 기록되면 Terminator는 이를 로드하여 커널 수준 권한을 사용하여 장치에서 실행 중인 AV 및 EDR 소프트웨어의 사용자 모드 프로세스를 종료합니다.

터미네이터 프로그램이 드라이버와 어떻게 인터페이스하고 있는지는 확실하지 않지만, 일반적으로 보호되는 보안 소프트웨어 프로세스를 종료하는 데 사용할 수 있는 드라이버의 결함을 악용하여 Windows 커널 권한으로 명령을 실행하는 PoC 익스플로잇이 2021년에 출시되었습니다.

​VirusTotal 검사에 따르면 이 드라이버는 현재 단일 맬웨어 방지 검사 엔진에서만 취약한 드라이버로 감지되고 있습니다.

운 좋게도 Nextron Systems의 연구 책임자인 Florian Roth와 위협 연구원인 Nasreddine Bencherchali는 방어자가 터미네이터 도구에서 사용하는 취약한 드라이버를 감지하는 데 도움이 될 수 있는 YARA 및 Sigma(해시 및 이름별) 규칙을 이미 공유했습니다.

이 기술은 손상된 시스템에서 실행되는 보안 소프트웨어를 우회하고, 악성 코드를 실행하고, 추가 악성 페이로드를 전달하기 위해 권한을 승격한 후 취약한 Windows 드라이버를 설치하려는 위협 행위자 사이에서 널리 퍼져 있습니다.

알려진 바와 같이 BYOVD(Bring Your Own Vulnerable Driver) 공격에서는 유효한 인증서로 서명되고 커널 권한으로 실행할 수 있는 합법적인 드라이버가 피해자의 장치에 드롭되어 보안 솔루션을 비활성화하고 시스템을 장악합니다.

재정적 동기를 지닌 랜섬웨어 집단부터 국가 지원 해킹 조직에 이르기까지 다양한 위협 그룹이 수년 동안 이 기술을 사용해 왔습니다.

최근 Sophos X-Ops 보안 연구원들은 BYOVD 공격에 랜섬웨어를 배포하기 전에 취약한 Process Explorer 드라이버의 도움으로 EDR 소프트웨어를 비활성화하는 데 사용되는 AuKill이라는 새로운 해킹 도구를 발견했습니다.

Microsoft는 Surface 노트북에서 작동하지 않는 카메라에 대한 수정 사항을 공유합니다.

Microsoft Defender Antivirus는 Dev 드라이브에 대한 '성능 모드'를 얻습니다.

BlackCat 랜섬웨어 공격에 사용된 악성 Windows 커널 드라이버

오픈 소스 XDR인 Wazuh를 사용하여 데이터 도난 감지

이 기간 한정 거래로 Malwarebytes Premium + Privacy 50% 할인을 받으세요

이전의: 다양한 바이러스 이펙터가 호르몬을 억제합니다. 다음: 몇몇 다운증후군 특징은 과잉 항바이러스 면역 반응과 연관될 수 있습니다.
문의 보내기
보내다