CrowdStrike 詳細介紹了據稱可以殺死 Microsoft Defender、Avast 和更多 EDR 的 Spyboy Terminator

CrowdStrike 全球高級總監安德魯·哈里斯 (Andrew Harris) 在俄羅斯匿名市場上分享了有關“終結者”的詳細信息，這是一種端點檢測和響應 (EDR) 查殺工具，由名為“Spyboy”的威脅行為者推廣（斜坡）。該活動似乎是在上個月 5 月 21 日左右開始的。

作者 Spyboy 聲稱此終結者工具能夠成功禁用二十三個 EDR 和防病毒控件。其中包括來自 Microsoft、Sophos、CrowdStrike、AVG、Avast、ESET、Kaspersky、Mcafee、BitDefender、Malwarebytes 等的產品。該軟件的售價為 300 美元（單旁路）到 3,000 美元（一體式旁路）。

CrowdStrike 指出，Terminator EDR 規避工具會生成一個合法的、經過簽名的驅動程序文件 Zemana Anti-Malware，該文件可能被用於利用 ID 為“CVE- 2021-31728 ”的安全漏洞。但是，它確實需要提升權限和接受用戶帳戶控制 (UAC)。根據VirusTotal 的數據，只有 Elastic 將該文件檢測為惡意文件，而其他 70 家供應商均未檢測到該文件。

哈里斯說，該工具的工作方式類似於自帶易受攻擊的驅動程序 (BYOVD) 禁用系統上存在的安全組件的方式：

在撰寫本文時，終結者軟件需要管理權限和用戶帳戶控制 (UAC) 接受才能正常運行。一旦以適當的權限級別執行，二進製文件將寫入一個合法的、簽名的驅動程序文件——Zemana Anti-Malware——到C:\Windows\System32\drivers\文件夾。驅動程序文件被賦予一個 4 到 10 個字符的隨機名稱。

這種技術類似於過去幾年觀察到的威脅行為者使用的其他自帶驅動程序 (BYOD)活動。

在正常情況下，驅動程序將被命名為zamguard64.sys或zam64.sys。驅動程序由“Zemana Ltd.”簽名。並具有以下指紋：96A7749D856CB49DE32005BCDD8621F38E2B4C05。

一旦寫入磁盤，該軟件就會加載驅動程序，並且已觀察到會終止 AV 和 EDR 軟件的用戶模式進程。

在演示中，攻擊者展示了 CrowdStike Falcon EDR 在終結者的幫助下被成功禁用。左圖（下圖）顯示 Falcon 仍在運行，而右圖顯示 Falcon 進程已終止。

您可以在 Andrew Harris 在Reddit上的帖子（通過Twitter上的 Soufiane ）上找到有關 Spyboy 的終結者 EDR 殺手的更多技術細節。