مراقب بدافزار مخوف روسیه‌ای Terminator باشید؛ آنتی ویروس‌ها کارساز نیستند!

یک هکر روسیه‌ای برنامه‌ای را به فروش می‌رساند که قادر است هر آنتی‌ویروسی را در ویندوز از کار بیندازد. جزئیات حیرت انگیز درباره برنامه Terminator، قاتل مخوف روس و ویدئو آزمایش کردن آن را در شهر سخت افزار ببینید.

فروش آنتی ویروس کُش Terminator

گزارش‌های منتشر شده حاکی از فروش یک تهدید امنیتی جدید از سوی هکرهای روس است که گفته می‌شود قادر به از کار انداختن تقریباً همه آنتی ویروس ها و راهکارهای تشخیص و واکنش به بدافزارها (به اختصار EDR و XDR) است.

قاتل آنتی ویروس‌ها یا Terminator که در یک تالار گفتگو اینترنتی روس به نام Ramp به فروش می‌رسد، ساخت یک هکر با نام مستعار Spyboy است. این هکر ادعا می‌کند برنامه Terminator قادر به از کار انداختن حداقل 23 برنامه امنیتی است. جالب اینکه سازنده آن برای دور زدن تنها یک آنتی‌ویروس 300 دلار می‌گیرد، اما برای از کار انداختن تمامی آنتی ویروس‌ها یا تهیه نسخه کامل این برنامه باید 3000 دلار پرداخت.

آنتی‌ویروس محبوب Windows Defender یکی از برنامه‌هایی است که قاتل روس از عهده خاموش کردن آن در ویندوز 7 و تمامی نسخه‌های جدیدتر سیستم عامل دسکتاپ مایکروسافت بر می‌آید. در عین حال به نظر می‌رسد آنتی ویروس‌های مشهور چون BitDefender ،Avast یا Malwarebytes هم در برابر این ابزار جدید بی دفاع باشند.

یک متخصص امنیت می‌گوید برنامه روسی Terminator در اصل گونه جدیدی از حملات شناخته شده موسوم به Bring Your Own Vulnerable Driver (BYOVD) است. برای انجام این حمله‌ها نخست دسترسی به مجوزهای ادمین سیستم نیاز است و باید به نحوی کاربر را متقاعد کرد تا مانع از اجرای برنامه مخرب توسط UAC نشود.

در حملات BYOVD، مهاجم از یک درایور معتبر اما حاوی حفره امنیتی برای انجام مقاصد خرابکارانه خود استفاده می‌کند، بنابراین در این روش هم از یک درایور معتبر اما آسیب پذیر سوء استفاده می‌شود.

پس از اجرای برنامه توسط کاربر، Terminator اقدام به کپی کردن یک درایور متعلق به آنتی‌ویروس Zemana در مسیر C:\Windows\System32\drivers می‌کند که از امضای دیجیتال معتبر هم برخوردار است. در نهایت این قاتل خاموش از حفره‌های امنیتی موجود درایور مزبور برای از کار انداختن تمامی آنتی ویروس‌ها و برنامه‌های امنیتی نصب شده از سوی کاربر استفاده می‌کند.

هرچند چگونگی عملکرد بدافزار Terminator در از کار انداختن آنتی ویروس‌ها روشن نیست، اما ظن سوء استفاده از آسیب پذیری های شناخته شده‌ای چون CVE-2021-31727 و CVE-2021-31728 وجود دارد که امکان اجرا یا حذف فایل‌ها و اجرای فرامین با مجوزهای سطح هسته را می‌دهد.

با وجود اینکه بدافزار نویس روسی ادعا می‌کند برنامه Terminator از عهده خاموش کردن تنها 23 آنتی‌ویروس بر می‌آید، اما تحلیل فایل درایور آن در سرویس VirusTotal نشان می‌دهد جمعاً 70 آنتی‌ویروس و راهکار EDR قادر به شناسایی آن نیستند. در این میان تنها یک EDR آن را به عنوان بدافزار تشخیص می‌دهد و آن Elastic است. البته نباید این واقعیت را نادیده گرفت که درایور مزبور ذاتاً مخرب نیست و این حفره های امنیتی موجود در آن هستند که می توانند برای مقاصد خرابکارانه مورد استفاده قرار بگیرند.

خوشبختانه چند پژوهشگر امنیتی چون Florian Roth و Nasreddine Bencherchali، داده‌های لازم برای تشخیص وجود درایور حاوی حفره امنیتی بر روی سیستم کاربران را فراهم کرده‌اند. برای این منظور می‌توان از Rule های ایجاد شده برای YARA یا Sigma استفاده کرد. همچنین مسدود کردن درایورهای دارای امضای دیجیتال Zemana می‌تواند یکی دیگر از راه‌های مقابله با این بدافزار مخوف روس باشد.