În peisajul în continuă evoluție al amenințărilor cibernetice, instrumentele de securitate sunt în mod constant vizate de actori rău intenționați. Un exemplu perfect în acest sens este "Terminator", un ucigaș antimalware promovat de un actor de amenințări cunoscut sub numele de Spyboy. Această unealtă, promovată pe un forum de hacking în limba rusă, pretinde că poate distruge orice platformă antivirus, XDR și EDR, ocolind 24 de soluții de securitate diferite, inclusiv Windows Defender, pe dispozitive care rulează Windows 7 și versiuni ulterioare.
Cu toate acestea, la o privire mai atentă, instrumentul Terminator nu este o amenințare invincibilă. Utilizând un mecanism similar cu alte atacuri de tip BYOD (Bring Your Own Driver), instrumentul Terminator poate fi prevenit cu ajutorul unei soluții de gestionare a securității endpoint și a accesului securizat, cum ar fi OPSWAT MetaDefender Access. O parte din verificările complete de conformitate a endpoint-urilor asociate cu OPSWAT MetaDefender Access implică monitorizarea instrumentelor antimalware și dacă dispozitivele endpoint au fost scanate.
Cum funcționează Terminator Anti-Virus Killer
În esența sa, instrumentul instalează un driver vulnerabil pe punctul final afectat și exploatează vulnerabilitatea respectivă. Pentru a funcționa, Terminator are nevoie de privilegii administrative pe sistemele Windows vizate. În primul rând, acesta păcălește utilizatorul să accepte o fereastră pop-up de control al contului de utilizator (UAC), oferindu-i privilegii administrative pentru a instala un driver de kernel anti-malware semnat și legitim în dosarul de sistem. Driverul malițios folosește apoi privilegiile de la nivelul kernelului pentru a distruge procesele din modul utilizator ale programelor AV și EDR care rulează pe dispozitiv.
Acest tip de atac, cunoscut sub numele de atac BYOVD (Bring Your Own Vulnerable Driver), este răspândit în rândul actorilor de amenințări. Terminator nu este singurul atac BYOVD recent. Recentul atac ransomware BlackByte a urmat, de asemenea, același model de atac, abuzând de un driver defect pentru a obține privilegii de nivel înalt. Un alt atac a avut loc în cursul trimestrului 3 din 2022, care a implicat abuzarea driverului anti-cheat al Genshin Impact pentru a distruge programele antivirus. Toate aceste atacuri indică o realitate îngrijorătoare în care nici măcar driverele legitime nu sunt complet demne de încredere.
MetaDefender Acces: Cea mai cuprinzătoare soluție ZTNA
Pentru a combate astfel de amenințări în creștere, este esențial să se utilizeze o soluție care să monitorizeze și să controleze poziția de securitate a tuturor dispozitivelor înainte ca acestea să poată accesa aplicații sensibile.
Prin implementarea unei soluții precum MetaDefender Access, organizațiile pot monitoriza și controla în mod proactiv poziția de securitate a dispozitivelor lor. Acest lucru poate ajuta la detectarea unor instrumente aparent legitime, precum Terminator, înainte ca acestea să provoace prejudicii, asigurându-se că toate dispozitivele mențin controalele de securitate și standardele de conformitate necesare. MetaDefender Access poate monitoriza, de asemenea, dacă instrumentele antimalware rulează corect și dacă dispozitivul endpoint a fost scanat.
În plus, MetaDefender Access oferă, de asemenea, o soluție de Network Access Control NAC) care asigură că fiecare conexiune la rețea și fiecare dispozitiv endpoint este vizibil, permis sau blocat în mod corespunzător în timp real. Cu MetaDefender NAC, amenințarea asociată cu incidente de securitate precum Terminator poate fi redusă substanțial.
MetaDefender NAC asigură identificarea, profilarea și controlul accesului fără agenți pentru toate dispozitivele care se conectează la o rețea. Acesta extrage informații de la dispozitivele de rețea în linie, de la instrumentele existente de gestionare a accesului la identitate și de la dispozitivul însuși.
Cu MetaDefender Access, beneficiați de descoperirea în timp real a noilor utilizatori și dispozitive, controale de conformitate pentru a verifica dacă dispozitivele respectă standardele corporative și de reglementare, integrare bidirecțională a instrumentelor de securitate pentru reacții rapide și carantină în timp real în cazul alertelor grave și multe altele. Soluția oferă, de asemenea, informații despre dispozitive prin analize fără agent și pe bază de agent și poate acționa în funcție de alertele provenite de la instrumente de securitate terțe pentru a izola sistemele.
Pentru mai multe informații despre soluția noastră, contactați experții noștri în securitate.
