En el mercado anónimo ruso (RAMPA), se está promoviendo una herramienta de eliminación de Endpoint Detection and Response (EDR) llamada «Terminator«. Andrew Harris, director sénior global de CrowdStrike, ha compartido detalles sobre esta herramienta que está ganando popularidad entre los actores de amenazas.
Cabe mencionar que la campaña de promoción de Terminator comenzó alrededor del 21 de mayo del presente año.
Terminator tiene la capacidad de deshabilitar EDR y controles antivirus
El autor de Spyboy afirma que Terminator tiene la capacidad de deshabilitar con éxito veintitrés EDR y controles antivirus.
Entre las marcas afectadas se encuentran Microsoft, Sophos, CrowdStrike, AVG, Avast, ESET, Kaspersky, McAfee, Bitdefender, Malwarebytes, y muchos más. Esta herramienta se comercializa a un precio que oscila entre los 300 y los 3000 dólares, dependiendo del nivel de acceso y funcionalidades requeridas.
La técnica de evasión utilizada por Terminator EDR
CrowdStrike destaca que la herramienta utiliza una técnica de evasión mediante la generación de un archivo de controlador legítimo y firmado llamado Zemana Anti-Malware.
Este archivo es utilizado para potencialmente explotar una vulnerabilidad de seguridad identificada como «CVE-2021-31728«.
Sin embargo, es importante destacar que se requieren privilegios elevados y la aceptación del Control de cuentas de usuario (UAC) para ejecutar exitosamente esta técnica.
Solo Elastic detecta este archivo como malicioso, mientras que otros 70 proveedores no lo detectan según el análisis de VirusTotal.
El funcionamiento y las similitudes con otras campañas
Harris explica que Terminator funciona de manera similar a la técnica conocida como Bring Your Own Vulnerable Driver (BYOVD), la cual desactiva los componentes de seguridad presentes en el sistema.
Para que el software Terminator pueda ejecutarse correctamente, se requieren privilegios administrativos y la aceptación de Controles de cuentas de usuario (UAC).
Una vez ejecutado con los privilegios adecuados, el software genera un archivo de controlador legítimo y firmado llamado Zemana Anti-Malware en la ruta C:\Windows\System32\drivers\.
El nombre del archivo del controlador es aleatorio, con una longitud de entre 4 y 10 caracteres.
En una demostración realizada por el actor de amenazas, se mostró que Terminator logró deshabilitar con éxito el software CrowdStrike Falcon EDR.
Obtén más detalles técnicos
Si deseas obtener más detalles técnicos sobre la herramienta Terminator EDR creada por Spyboy, puedes encontrarlos en la publicación de Andrew Harris en Reddit.
¡Ten precaución frente a la amenaza de Terminator EDR!
Es importante estar alerta y tomar las medidas necesarias para protegerse contra está nueva herramienta que pone en peligro nuestra seguridad en línea.
Mantenerse actualizado con los últimos parches de seguridad y utilizar soluciones confiables de EDR y antivirus puede ayudar a mitigar los riesgos asociados con esta amenaza.
